Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Un bug in supply-chain, colpisce milioni di telecamere.

Un bug in supply-chain, colpisce milioni di telecamere.

20 Giugno 2021 16:16

Gli esperti di sicurezza hanno segnalato una vulnerabilità critica della catena di approvvigionamento IoT che potrebbe interessare milioni di telecamere connesse a livello globale, consentendo agli aggressori di dirottare i flussi video.

Advertising

Nozomi Networks ha rivelato il difetto di un popolare componente software di ThroughTek, che gli OEM utilizzano per produrre telecamere IP, telecamere per il monitoraggio di neonati e animali domestici e dispositivi robotici a batteria.

Il bug si trova in un SDK P2P prodotto dall’azienda. In questo caso, P2P si riferisce alla funzionalità che consente a un client su un’app mobile o desktop di accedere a flussi audio/video da una fotocamera o un dispositivo tramite Internet.

Nozomi Networks ha affermato che il protocollo utilizzato per la trasmissione dei flussi

manca di uno scambio di chiavi sicuro e si basa invece su uno schema di offuscamento basato su una chiave fissa”.

Advertising

Ciò significa che gli aggressori non autorizzati potrebbero accedervi per ricostruire il flusso audio/video, consentendo loro di curiosare sugli utenti da remoto.

La CISA ha rilasciato ieri il proprio avviso di sicurezza per l’SDK P2P ThroughTek, assegnandogli un punteggio CVSS con una Severity di 9,1. L ‘avviso interessa: versioni 3.1.5 e precedenti; Versioni SDK con tag nossl; e il firmware del dispositivo che non utilizza AuthKey per la connessione IOTC, utilizza il modulo AVAPI senza abilitare DTLS o utilizza il modulo P2PTunnel o RDT.

ThroughTek ha dato la colpa agli sviluppatori che hanno implementato in modo errato l’SDK o non sono riusciti ad aggiornarlo, affermando che la versione 3.3 è stata introdotta a metà del 2020 per correggere questa vulnerabilità.

Ha anche rivelato che il bug potrebbe portare a intercettazioni non autorizzate su video e audio della fotocamera e spoofing del dispositivo e dirottamento del certificato.

Il caso evidenzia le sfide che devono essere affrontate sugli IoT e altri dispositivi, che hanno catene di approvvigionamento complesse, oltre ad utilizzare componenti di terze parti.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks