Non è la prima volta che parlo di telecamere IP vulnerabili perché mal configurate dagli utenti che non ne cambiano le ridicolissime password predefinite o vendute con falle di sicurezza che permettono a un intruso di intercettare le immagini trasmesse. Un esempio classico arriva dalla Shenzhen Gwelltimes Technology Co., Ltd, un’azienda che produce telecamere da connettere a Internet vendute con vari marchi (tipo FREDI) e ricche di falle imbarazzanti.

Le password predefinite sono “123” e l’app Yoosee consente di gestire le telecamere senza dover cambiare queste password; le telecamere sono numerate in sequenza, per cui un aggressore può sfogliarle tutte semplicemente cambiando un numero nel link pubblico. I risultati sono inevitabili, come racconta Jamie Turman, una madre della South Carolina: ignoti hanno preso il controllo della sua telecamerina IP, usata per tenere d’occhio il figlio Noah, spiando la donna e seguendola mentre si spostava nella stanza del bambino. Si è accorta che la telecamera cambiava posizione, puntando esattamente la zona dove lei regolarmente allattava il figlio.

Questo tipo di intrusione, però, richiede che un intruso si dia da fare per trovare le telecamere vulnerabili e le violi. Ci sono marche che fanno di più: la Swann Security ha messo in commercio una di queste telecamere che manda spontaneamente i video agli sconosciuti, senza che loro debbano fare nulla.

Lo ha segnalato la BBC, e la Swann si è giustificata dicendo che due esemplari della loro telecamera sono stati fabbricati per errore con lo stesso identificativo e comunque gli utenti si sarebbero dovuti accorgere che qualcosa non quadrava quando la telecamera, durante il pairing, ha avvisato che era già abbinata a un account. Il problema dovrebbe essere stato circoscritto, ma la figuraccia probabilmente no.


Fonti aggiuntive: Engadget, Bleeping Computer, BoingBoing.

.