Test su videocamere di sorveglianza Loftek e VStarcam: i risultati sono sconcertanti

Condividilo... grazie!Share on FacebookShare on Google+Tweet about this on TwitterEmail this to someone

La Checkmarx ha effettuato alcuni test su due modelli di videocamere IP wireless, Loftek e VStarcam, usate per la videosorveglianza: i risultati sulla sicurezza sono sconcertanti.

Loftek e VStartcam

Quanto sono sicure le videocamere collegate ad una rete e usate per la videosorveglianza di negozi, centri commerciali, banche, uffici?

Molti modelli di videocamere IP wireless, soprattutto quelle a basso costo, soffrono di gravi vulnerabilità non risolte, note già dal 2013, che possono essere facilmente sfruttate da hacker. La causa quasi sempre è dovuta ad una scarsa professionalità delle aziende che producono questi dispositivi di tipo IoT (Internet delle Cose) e all’utilizzo di firmware pieni di vulnerabilità che possono essere presi di mira da cybercriminali.

È il caso di due modelli di videocamera IP wireless prodotte dalle cinesi Loftek e VStarcam e precisamente la VStarcam C7837WIP e la Loftek CXS 2200 disponibili soprattutto sui canali di vendita online come eBay e Amazon.

Dalla ricerca condotta dal team della Checkmarx Security Research è emerso che la sicurezza di questi due modelli può essere facilmente baypassata esattamente come è successo per l’ormai nota vicenda della “botnet IRC (new) Aidra” quando, nell’ottobe dello scorso anno, riuscì a mettere offline siti come Twitter, Reddit e Amazon grazie ad un attacco di tipo DDoS (Distributed Denial-of-Service).

Tra i tanti difetti scoperti durante i test, quelli più inquietanti sono l’incredibile debolezza della password-amministratore per l’accesso al sistema di videosorveglianza e dell’accesso ad internet da remoto attivato nel sistema come impostazione predefinita.

Queste le vulnerabilità elencate dalla Checkmarx nel loro rapporto che possono consentire agli hacker un semplice e veloce accesso al sistema di videosorveglianza, vediamole nel dettaglio:

  • Stored Cross-site Scripting in //proc/kcore
  • HTTP Response Splitting
  • Bad username and password policies which allow an attacker to obfuscate his account
  • Server-side Request Forgery
  • Denial of Service using requests on camera services
  • Manufacter DDNS security issues
  • File disclosure using next_url parameter
  • Stored Cross-site Scripting in user name
  • Stored Cross-site Scripting in SSID
  • Open Redirect using next_url parameter
  • Disable IP Cam and force a reset from factory
  • Sniffing the network using the wifi driver
  • Bitcoin mining, password cracking, or any other abuse of distributed computing
  • Android app clear text authentication
  • Admin password disclosure to Eye4 API
  • Android app has malware
  • Cross-Site Request Forgery
  • Information disclosure (both cameras)
  • Netwave IP remote exploit
  • Remote root access
  • Memory dump
Condividilo... grazie!Share on FacebookShare on Google+Tweet about this on TwitterEmail this to someone

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*