Nuova vulnerabilità per l’accesso da remoto per i dispositivi IoT

L’Internet delle cose o Internet-of-Things (IoT), innovazione acclamata da tutti ma odiata dagli esperti in sicurezza per la scarsa qualità dei software utilizzati che sono spesso molto vulnerabili, infatti basti pensare che la maggior parte delle botnet in circolazione sono composte da telecamere di sorveglianza fino ad altri elettrodomestici collegati alla rete.

Vi ricordate dell’onnipotente DoS avvenuto nel 2016 per conto della Mirai Botnet?

Bene, la maggior parte degli “zombies” erano telecamere di sorveglianza con username e password di default.

Il problema sorge pensando che secondo le ultime stime di Gartner Inc. nel 2020 ci saranno 26 miliardi di oggetti connessi alla rete a livello mondiale, mentre secondo ABI Research saranno più di 30 miliardi e nientemeno altri istituti parlano di 100 miliardi di dispositivi IoT.

Dunque proseguendo su questa onda, con multinazionali a cui interessa minimamente il ramo della sicurezza e piccole-medie aziende a cui proprio non importa, non ci resta che immaginare un futuro ricco di server down e di denunce verso ignoti per la violazione della nostra privacy.

Questo ulteriore incremento di dispositivi IoT avverrebbe per tutti i diversi progetti su smart-home, smart grid e smart-city, dove qualsiasi oggetto nelle nostre case e nelle nostre città sarà connesso ad Internet.

Già oggi nel 2017 abbiamo caldaie, lavatrici, condizionatori d’aria, lampadine e tanto altro ancora connesso alla rete e quindi vulnerabile e non siamo in grado di proteggerlo, perchè mai senza un giusto budget speso dalle aziende per la sicurezza informatica dovremmo trasformare le nostre città in smart-city?

Adesso ritornando a noi, dei ricercatori di sicurezza informatica della ditta Senrio hanno scoperto una vulnerabilità presente in una libreria open source per lo sviluppo del software presente in milioni di dispositvi IoT.

La vulnerabilità (CVE-2017-9765), denominata “Devil’s Ivy Vulnerabilty“, risiede come già preannunciato prima, nella libreria gSOAP (Simple Object Access Protocol), utilizzata per lo sviluppo del software e la codifica automatica di C / C ++ per lo sviluppo di servizi Web e applicazioni in XML.

La vuln è stata scoperta su una telecamera prodotta da Axis Communications, che ha già provveduto a patchare tutte le 250 telecamere colpite, ma secondo i ricercatori il loro exploit sarebbe anche eseguibile e funzionante su telecamere e dispositivi IoT prodotti da altri brand come HitachiCanon, Siemens e Cisco.

Infine i due ricercatori hanno anche rilasciato delle dichiarazioni a riguardo dicendo che una volta exploitata la telecamera, un attaccante da remoto potrebbe sia immediatamente accedere al sensore fotografico ma anche impedire alla vittima di accedere all’interfaccia del dispositivo, sopratutto hanno anche detto che spiare le persone con questo metodo è molto dannoso e porterebbe ad una devastante violazione della privacy e ad una immensa sottrazione di informazioni personali.

Vi lascio il video dell’attacco.

 

FONTE

Davide Palmieri

Davide Palmieri è nato a Torino il 2 Ottobre del 2000, già dopo qualche anno dalla nascita inizia ad utilizzare il PC e ad appassionarsi sul mondo tecnologico e informatico. Attualmente è il Direttore Fondatore di TechnoBlitz.it, ma è anche un Junior Pentester e Arbitro Effettivo presso la sezione A.I.A di Torino.

Close