Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 20 Giugno 2021 16:16
Gli esperti di sicurezza hanno segnalato una vulnerabilità critica della catena di approvvigionamento IoT che potrebbe interessare milioni di telecamere connesse a livello globale, consentendo agli aggressori di dirottare i flussi video.
Nozomi Networks ha rivelato il difetto di un popolare componente software di ThroughTek, che gli OEM utilizzano per produrre telecamere IP, telecamere per il monitoraggio di neonati e animali domestici e dispositivi robotici a batteria.
Il bug si trova in un SDK P2P prodotto dall’azienda. In questo caso, P2P si riferisce alla funzionalità che consente a un client su un’app mobile o desktop di accedere a flussi audio/video da una fotocamera o un dispositivo tramite Internet.
Nozomi Networks ha affermato che il protocollo utilizzato per la trasmissione dei flussi
“manca di uno scambio di chiavi sicuro e si basa invece su uno schema di offuscamento basato su una chiave fissa”.
Ciò significa che gli aggressori non autorizzati potrebbero accedervi per ricostruire il flusso audio/video, consentendo loro di curiosare sugli utenti da remoto.
La CISA ha rilasciato ieri il proprio avviso di sicurezza per l’SDK P2P ThroughTek, assegnandogli un punteggio CVSS con una Severity di 9,1. L ‘avviso interessa: versioni 3.1.5 e precedenti; Versioni SDK con tag nossl; e il firmware del dispositivo che non utilizza AuthKey per la connessione IOTC, utilizza il modulo AVAPI senza abilitare DTLS o utilizza il modulo P2PTunnel o RDT.
ThroughTek ha dato la colpa agli sviluppatori che hanno implementato in modo errato l’SDK o non sono riusciti ad aggiornarlo, affermando che la versione 3.3 è stata introdotta a metà del 2020 per correggere questa vulnerabilità.
Ha anche rivelato che il bug potrebbe portare a intercettazioni non autorizzate su video e audio della fotocamera e spoofing del dispositivo e dirottamento del certificato.
Il caso evidenzia le sfide che devono essere affrontate sugli IoT e altri dispositivi, che hanno catene di approvvigionamento complesse, oltre ad utilizzare componenti di terze parti.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
