Le videocamere di sicurezza Eufy, un brand di Anker, avrebbero una vulnerabilità importante: secondo alcuni esperti trasmetterebbero immagini e video non criptati, quindi potenzialmente accessibili. Tanto che alcune testate riportano di aver visto su VLC dei feedback di videocamere poste a chilometri di distanza.
Videocamere di sicurezza Eufy: video non criptati e visualizzabili con VLC
Anker è ormai un brand molto rispettato a livello internazionale, soprattutto per i suoi prodotti come caricabatterie e adattatori, ma anche auricolari e non solo: tutti con un grande rapporto qualità prezzo. E il suo brand Eufy ha ritagliato una nicchia importante nel mondo della smart home, anche con i suoi robot aspirapolvere. Ma le telecamere di sicurezza Eufy non devono solo avere un ottimo rapporto fra qualità costruttiva e costo, devono essere sicure.
Per questo Eufy spiega che le immagini e i video restano conservati solamente a livello locale a casa vostra. Potete vederle dal vostro smartphone a distanza, ma nel tragitto telematico restano protette da una crittografia end-to-end di livello militare. In altre parole, potete vederle solo e soltanto sul vostro smartphone. E nessuno di Eufy o Anker può guardarle.
Tuttavia, nel Giorno del Ringraziamento, sia l’esperto di sicurezza dell’infosec Paul Moore che l’hacker Wasabi hanno detto il contrario. “Potete iniziare un stream remoto e guardare le videocamere Eufy usando VLC. Nessuna autenticazione, nessuna crittazione” scrive Paul Moore.
Anker nega, ma ci sono altri test
Anker ha negato assolutamente che questo sia possibile. The Verge riporta che Breet White del team PR di Anker ha affermato: “Posso confermare che non è possibile iniziare uno stream e guardare contenuti live usando un player di terze parti come VLC”.
Tuttavia, The Verge avrebbe riprovato l’esperimento con videocamere di sicurezza Eufy di proprietà dello staff, poste in diversi luoghi negli Stati Uniti. Sembrerebbe che per accedere, ci sia bisogno che le videocamere siano accesse: il proprietario deve iniziare lo stream dal proprio smartphone. Ma avendo l’indirizzo della telecamera, risulterebbe possibile vedere su VLC lo stesso feedback dei proprietari.
La buona notizia è che non sembra che alcun hacker abbia utilizzato questo sistema, soprattutto perché serve l’indirizzo della videocamera per guardare il feed. La cattiva notizia è che la parte variabile dell’indirizzo sarebbe il numero di serie della webcam, scritto sulla confenzione e relativamente facile da reperire. Il numero di serie è cifrato con Base64, facilmente ricavabile con un calcolatore online.
Al momento Anker non ha risposto a queste nuove prove di The Verge, quindi potrebbero esserci diverse cause per questa trasmissione non cifrata. Ma se fosse effettivamente una pratica comune, questo rappresenterebbe un rischio di sicurezza.
Paul Moore ha avviato delle procedure legali contro Anker per risolvere la questione. Anche perché ha riscontrato anche che il videocitofono Eufy avrebbe caricato delle immagini thumbnail senza prima crittografarle. A breve quindi potrebbero esserci novità, vi terremo aggiornati.
- Pinna, Francesco (Autore)