Oggi riportiamo una notizia non piacevole: in questi tempi in cui la sicurezza informatica occupa un posto primario nella vita quotidiana, fa preoccupare apprendere la notizia che un noto produttore di sistemi dedicati alla videosorveglianza domestica non aggiorna i propri dispositivi.
Stiamo parlando dell’azienda iSmart (che vende anche in Italia tramite Amazon) e del ricercatore Ilia Shnaidman dei laboratori Bullguard’s Dojo che ha individuato a gennaio 5 vulnerabilità in iSmartAlarm, l’azienda è stata avvisata quindi a gennaio: da quel momento non è stato rilasciato alcun aggiornamento.
Le vulnerabilità riscontrate sono di notevole gravità, alcune sfruttabili tramite un attacco Man-In-The-Middle, altre sfruttando una vulnerabilità in una API è possibile ottenere la chiave di criptazione del dispositivo con la quale si può ottenere l’accesso completo al sistema di sorveglianza nel suo insieme.
Di seguito le vulnerabilità rilevate:
|
CVE-2017-7726
|
Remote
|
Missing SSL Certificate Validation
|
iSmartAlarm Cube
|
|
CVE-2017-7727
|
Remote
|
Server Side Request Forgery
|
iSmartAlarm
|
|
CVE-2017-7728
|
Remote
|
Authentication Bypass
|
iSmartAlarm Cube
|
|
CVE-2017-7729
|
Remote
|
Incorrect Access Control
|
iSmartAlarm Cube
|
|
CVE-2017-7730
|
Remote
|
Denial of Service
|
iSmartAlarm Cube
|
Approfondimenti nella pagina seguente: