Il brutto pasticcio delle webcam Xiongmai Technology

“La perfezione della tecnologia e la confusione degli obiettivi sembrano caratterizzare la nostra epoca.”
Albert Einstein

La Hangzou Xiongmai Technology Co. è una azienda cinese che produce webcam per molti marchi, tra cui: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision / sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo, ZRHUNTER.

Sono state recentemente scoperte alcune importanti vulnerabilità su tali dispositivi, dal software XMeye P2P Cloud server (CVE-2018-17915) alla presenza di credenziali hardcoded nascoste nel firmware.

Quali sono le potenziali conseguenze ?

L’analisi approfondita di queste vulnerabilità, condotta dalla Sec Consult, descrive in dettaglio le potenziali problematiche:

  • Il “voyeur” – sfruttando le credenziali di default, un eventuale malintenzionato può accedere al dispositivo e guardare cosa la webcam sta riprendendo, audio incluso;
  • Lateral attacks – conquistando l’accesso ad uno di questi dispositivi, un eventuale attaccante può garantirsi l’accesso a tutta la rete privata dove è connesso (“attacco laterale“);
  • Botnet – Come già avvenuto con la botnet Mirai, provocando pesantissimi DDoS, questi dispositivi possono essere utilizzati per attacchi mirati del tipo Distribuited Denial of Service;

Ci tengo a sottolineare che chiunque abbia in casa uno di questi dispositivi potrebbe, quindi, non solo essere inconsapevolmente spiato ma diventare, sempre non sapendolo,  soldato di un “esercito” utilizzato dai criminali per compiere attacchi DoS distribuiti. Con conseguenze che vanno dal semplice rallentamento della linea Internet ad essere messi sotto indagine per reati più o meno gravi.

Come verifico se le mie telecamere sono vulnerabili ?

Sempre dal succitato report della Sec-Consult, che cito volentieri visto l’ottimo lavoro svolto, per sapere se la nostra telecamera di sicurezza è stata prodotta dall’azienda Xiongmai (che, peraltro, al momento non sembra aver rilasciato nessun aggiornamento di sicurezza) possiamo verificare se nella schermata di login compare qualche elemento identificativo della stessa:

Schermata di login di default

Potete verificare se le credenziali di default sono attive, usando come username “default” e come password “tluafed” (“default” al contrario), probabilmente la falla più grave di questi dispositivi.

Oppure potete controllare se il server web usato è uc-httpd, peraltro suscettibile di una vulnerabilità del tipo buffer overflow (CVE-2018-10088) il cui relativo exploit è pubblicamente disponibile sul web almeno da Luglio 2018. Una veloce ricerca sul motore di ricerca Shodan.io restituisce, per uc-httpd, oltre 603.000 dispositivi connessi pubblicamente alla Rete (più di 11.000 solo in Italia)….

Oltre 600.000 dispositivi vulnerabili connessi in Rete

Interessante anche la considerazione dell’esperto di sicurezza Brian Krebs che, attraverso il suo blog KrebsOnSecurity.com, definisce queste aziende “inquinatrici del Web“, diffondendo hardware vulnerabile e regalando ai malintenzionati strumenti per i loro attacchi. Tali prodotti, uniti alla scarsa consapevolezza informatica di molti utilizzatori, contribuisce alla presenza di “bombe logiche” che provocano, ogni anno, milioni di euro di danni alle infrastrutture e servizi informatici di tutto il mondo.

L’importanza di proteggere la propria rete casalinga

Webcam italiana, da insecam.org

Per finire, è importante proteggere adeguatamente la propria rete casalinga impedendo qualsiasi accesso ai dispositivi interni dalla rete Internet. Certo, lo so che è comodo poter vedere il proprio salotto dallo smartphone mentre si è lontani, magari in vacanza, ma le conseguenze di tali leggerezze possono essere molto pesanti. A proposito, vi avevo già parlato del sito russo insecam.org ? Magari non lo sapete ancora ma tutto il mondo vi sta già guardando, attraverso la Vostra telecamera…

Michele Pinassi

Nato a Siena nel 1978, dopo aver conseguito il diploma in "Elettronica e Telecomunicazioni" e la laurea in "Storia, Tradizione e Innovazione", attualmente è Responsabile del Sistema telefonico di Ateneo presso l'Università degli Studi di Siena ed esperto di sicurezza informatica nello staff del DPO. Utilizza quasi esclusivamente software libero.

Potrebbero interessarti anche...

Una risposta

  1. MacMercury ha detto:

    Bell’articolo, Michele.
    Grazie per l’informazione 🙂

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: