Un bug in supply-chain, colpisce milioni di telecamere.

Redazione RHC : 20 Giugno 2021 16:16

Gli esperti di sicurezza hanno segnalato una vulnerabilità critica della catena di approvvigionamento IoT che potrebbe interessare milioni di telecamere connesse a livello globale, consentendo agli aggressori di dirottare i flussi video.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nozomi Networks ha rivelato il difetto di un popolare componente software di ThroughTek, che gli OEM utilizzano per produrre telecamere IP, telecamere per il monitoraggio di neonati e animali domestici e dispositivi robotici a batteria.

Il bug si trova in un SDK P2P prodotto dall’azienda. In questo caso, P2P si riferisce alla funzionalità che consente a un client su un’app mobile o desktop di accedere a flussi audio/video da una fotocamera o un dispositivo tramite Internet.

Nozomi Networks ha affermato che il protocollo utilizzato per la trasmissione dei flussi

“manca di uno scambio di chiavi sicuro e si basa invece su uno schema di offuscamento basato su una chiave fissa”.

Ciò significa che gli aggressori non autorizzati potrebbero accedervi per ricostruire il flusso audio/video, consentendo loro di curiosare sugli utenti da remoto.

La CISA ha rilasciato ieri il proprio avviso di sicurezza per l’SDK P2P ThroughTek, assegnandogli un punteggio CVSS con una Severity di 9,1. L ‘avviso interessa: versioni 3.1.5 e precedenti; Versioni SDK con tag nossl; e il firmware del dispositivo che non utilizza AuthKey per la connessione IOTC, utilizza il modulo AVAPI senza abilitare DTLS o utilizza il modulo P2PTunnel o RDT.

ThroughTek ha dato la colpa agli sviluppatori che hanno implementato in modo errato l’SDK o non sono riusciti ad aggiornarlo, affermando che la versione 3.3 è stata introdotta a metà del 2020 per correggere questa vulnerabilità.

Ha anche rivelato che il bug potrebbe portare a intercettazioni non autorizzate su video e audio della fotocamera e spoofing del dispositivo e dirottamento del certificato.

Il caso evidenzia le sfide che devono essere affrontate sugli IoT e altri dispositivi, che hanno catene di approvvigionamento complesse, oltre ad utilizzare componenti di terze parti.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli