Le telecamere di sorveglianza domestiche pongono rischi per la privacy, perdita di dati tramite hacking

Scritto da Rita Huang, Danny Tang e Nathan Amery tramite The Epoch Times ,

L'Hong Kong Consumer Council ha testato la sicurezza informatica di dieci telecamere di sorveglianza domestica sul mercato e ha scoperto che solo un modello era conforme allo standard europeo di sicurezza informatica. Allo stesso tempo, gli altri nove hanno posto vari problemi di sicurezza informatica, tra cui la trasmissione di video e dati senza crittografia e l'incapacità di difendersi dagli "attacchi di forza bruta" degli hacker per decifrare le password.

Inoltre, la sicurezza dell'archiviazione dei dati degli utenti avrebbe potuto essere migliorata in molte app, con metà dei modelli testati in grado di accedere ai file utente archiviati nei dispositivi intelligenti tramite le app Android. Alcune app hanno persino richiesto un'autorizzazione eccessiva.

Il Consiglio esorta i produttori a migliorare la sicurezza informatica dei prodotti, come l'introduzione di progetti di attacco anti-forza bruta e la crittografia dei dati di video e dati.

I consumatori dovrebbero anche impostare password complesse per le loro telecamere di sorveglianza e cambiarle regolarmente e fare buon uso dei firewall e delle funzioni di monitoraggio della rete.

I dieci modelli di telecamere di sorveglianza domestica testati avevano un prezzo compreso tra $ 269 e $ 1.888, tutti con audio bidirezionale, rilevamento del movimento, visione notturna, Amazon Alexa e controllo vocale dell'Assistente Google. I modelli testati provenivano da Arlo, Xiaomi, Imou, TP-Link, BotsLab, Eufy, EZVIZ, SpotCam, D-Link e Reolink.

Inoltre, il Consiglio ha incaricato un laboratorio indipendente di testare la sicurezza informatica e la progettazione hardware di questi dieci modelli con riferimento agli standard europei ETSI EN 303 645 e allo standard di settore OWASP MASVS.

Tra le dieci telecamere di sorveglianza, Arlo ha il punteggio totale più alto di quattro su cinque, con cinque punti per la protezione dagli attacchi, la sicurezza della trasmissione dei dati e delle app e il design dell'hardware, ma tre punti per la sicurezza dell'archiviazione dei dati e il prezzo più alto di $ 1.888 nel campione.

Gli altri nove modelli hanno uno slot per schede di memoria micro-SD, che può essere inserito per salvare i video.

5 modelli non dispongono di trasmissione dati crittografata

Il Consiglio ha affermato che lo streaming video in diretta su dispositivi mobili tramite l'app consente agli utenti di tenere traccia dello stato in tempo reale.

Quattro modelli testati non utilizzavano il protocollo SRTP (Secure Real-Time Transport Protocol) nel live streaming, che potrebbe fornire la crittografia dei dati e l'autenticazione dei messaggi. Invece, hanno utilizzato il protocollo di trasporto in tempo reale (RTP) meno sicuro e non crittografato.

I quattro modelli sono Imou (Modello: IPC-F88FIP-V2), TP-Link (Modello: Tapo C210), EZVIZ (Modello: CS-C6) e D-Link (Modello: DCS-8350LH).

Inoltre, Reolink (modello: Argus 3 Pro) utilizza Hypertext Transfer Protocol (HTTP) per trasmettere i dati durante la connessione alla rete Wi-Fi dell'utente senza crittografare i dati sensibili in modo che gli hacker possano trovare le informazioni sull'account del router da normali file di testo.

Il Consiglio dei consumatori raccomanda ai produttori di passare al protocollo HTTPS (Hypertext Transfer Security Protocol) più sicuro per fornire un'eccellente protezione agli utenti.

4 Impossibile difendersi dagli attacchi di forza bruta

Il test ha rilevato che tre campioni potevano essere violati utilizzando strumenti e programmi automatizzati che ripetutamente (attacchi di forza bruta) testavano tutte le possibili combinazioni di password durante lo streaming di film in diretta.

Le password predefinite di EZVIZ e D-Link sono solo sei cifre o lettere, che hanno una forza molto bassa e sono facilmente decifrabili. Anche l'Eufy (modello: T8441X) potrebbe essere rotto.

Il Consiglio ha affermato che il campione di SpotCam (modello: Solo 2) non ha limiti su quante volte un hacker può accedere con un'applicazione per telefoni cellulari per ottenere informazioni sull'account.

Il Consiglio raccomanda che i produttori di questi quattro prodotti incorporino progetti anti-forza bruta, come l'autenticazione a più fattori e la limitazione del numero di tentativi di password.

Le password temporanee sono valide quando si accede nuovamente all'account su 3 modelli

Ogni volta che l'utente effettuava l'accesso per connettersi alla telecamera, veniva utilizzata una chiave di conversazione equivalente a una password temporanea. La chiave di conversazione dovrebbe scadere dopo la disconnessione e l'utente utilizzerà una nuova chiave di conversazione quando accederà nuovamente.

Tuttavia, i risultati del test hanno mostrato che quando i campioni di BootsLab (modello: P4 Pro), SpotCam e Reolink hanno effettuato l'accesso per connettersi nuovamente alla videocamera, la chiave di conversazione utilizzata per la connessione precedente era ancora valida. Se l'hacker ruba la vecchia chiave di conversazione, può connettersi alla telecamera e vedere l'immagine.

Dopo essersi disconnessi da un account o aver effettuato l'accesso a un altro account nella stessa applicazione per telefono cellulare, le immagini in diretta della telecamera di sorveglianza possono ancora essere visualizzate su Reolink quando ci si connette all'account disconnesso, una vulnerabilità di sicurezza.

Protezione dei dati insufficiente per l'archiviazione di tutte le applicazioni di esempio

Informazioni sensibili come indirizzi e-mail, nomi di account o password venivano archiviate in normali file di testo senza crittografia. Le informazioni pertinenti verrebbero rimosse solo dopo un certo periodo di tempo, con conseguenti rischi.

Inoltre, il browser incorporato della versione Android di cinque campioni non bloccava l'accesso ai file, inclusi Imou, TP-Link, Eufy, EZVIZ e D-Link, che consentivano agli hacker di accedere ai file nel dispositivo impiantando il codice. Inoltre, ci sono cinque campioni di applicazioni per telefoni cellulari con diritti di accesso eccessivi e i dati all'interno del dispositivo potrebbero essere trapelati, tra cui Xiaomi Mi (modello: MJSXJ09CM), Imou, BotsLab, Eufy ed EZVIZ.

Il Consiglio ha inoltre sottolineato che la versione Android di BootsLab utilizza l'obsoleto Data Encryption Standard (DES) con una lunghezza della chiave inferiore a 56 bit.

Studioso della City University: affidati solo ai produttori per migliorare la qualità del prodotto

Tsang Kim Fung, professore associato del Dipartimento di ingegneria elettronica della città dell'Università di Hong Kong, ritiene che alcuni campioni presentino maggiori problemi di sicurezza della rete, come l'accesso non autorizzato al server, la trasmissione di dati non sicura e la crittografia dei dati non sicura, che possono comportare rischi come la perdita di privacy e la perdita di dati del telefono cellulare.

Tuttavia, la progettazione del prodotto e l'applicazione delle telecamere di sorveglianza domestica sono responsabilità del produttore e i consumatori possono fare affidamento solo sul produttore per migliorare la qualità del prodotto.

Il Consiglio ricorda ai consumatori di prestare attenzione a quanto segue quando scelgono e utilizzano le telecamere di sorveglianza domestica.

I consumatori dovrebbero evitare di acquistare prodotti senza marchio o provenienti da fonti sconosciute. Dovrebbero aprire l'app e attivare la videocamera solo quando è necessario il monitoraggio. Inoltre, dovrebbero impostare una password complessa con non meno di otto caratteri. La password deve inoltre contenere una combinazione di lettere maiuscole e minuscole, numeri e simboli speciali.

La password deve essere cambiata regolarmente e, se la telecamera di sorveglianza è installata e configurata da qualcuno che fornisce il servizio porta a porta, modificare la password immediatamente dopo l'installazione.

Inoltre, i consumatori non dovrebbero mai utilizzare dispositivi pubblici e quelli senza l'autorizzazione dell'amministratore per accedere a un account ed evitare di utilizzare reti Wi-Fi pubbliche per il monitoraggio per impedire la registrazione e il furto dei dati dell'account.