iSmart non rilascia aggiornamenti per 5 vulnerabilità nei propri dispositivi di sorveglianza

da Alvise C. Luglio 20, 2017

da Alvise C. Luglio 20, 2017 0 commenti 7 minutes Leggi

Oggi riportiamo una notizia non piacevole: in questi tempi in cui la sicurezza informatica occupa un posto primario nella vita quotidiana, fa preoccupare apprendere la notizia che un noto produttore di sistemi dedicati alla videosorveglianza domestica non aggiorna i propri dispositivi.

iSmart%2Bnon%2Brilascia%2Baggiornamenti%2Bper%2B5%2Bvulnerabilit%25C3%25A0%2Bnei%2Bpropri%2Bdispositivi%2Bdi%2Bsorveglianza

Stiamo parlando dell’azienda iSmart (che vende anche in Italia tramite Amazon) e del ricercatore Ilia Shnaidman dei laboratori Bullguard’s Dojo che ha individuato a gennaio 5 vulnerabilità in iSmartAlarm, l’azienda è stata avvisata quindi a gennaio: da quel momento non è stato rilasciato alcun aggiornamento.

Le vulnerabilità riscontrate sono di notevole gravità, alcune sfruttabili tramite un attacco Man-In-The-Middle, altre sfruttando una vulnerabilità in una API è possibile ottenere la chiave di criptazione del dispositivo con la quale si può ottenere l’accesso completo al sistema di sorveglianza nel suo insieme.

Di seguito le vulnerabilità rilevate:

CVE-2017-7726	Remote	Missing SSL Certificate Validation	iSmartAlarm Cube
CVE-2017-7727	Remote	Server Side Request Forgery	iSmartAlarm
CVE-2017-7728	Remote	Authentication Bypass	iSmartAlarm Cube
CVE-2017-7729	Remote	Incorrect Access Control	iSmartAlarm Cube
CVE-2017-7730	Remote	Denial of Service	iSmartAlarm Cube