Wyze: è bufera sulla sicurezza delle telecamere

I dispositivi per l’Internet delle Cose (IoT) sono sempre più diffusi ma allo stesso tempo, se non correttamente scelti e configurati, possono rappresentare una potenziale minaccia sul versante della sicurezza.
A suo tempo ci siamo chiesti come sia possibile collegare dispositivi insicuri o non affidabili alla rete locale.

L’indagine condotta da Bitdefender ci riporta di nuovo alla cruda realtà e conferma, ancora una volta, quanto le attenzioni nella scelta di dispositivi come le telecamere IP, nella loro configurazione e nella segmentazione della rete non siano mai abbastanza.

Nel report pubblicato sul sito dell’azienda, Bitdefender spiega di aver valutato la sicurezza dei dispositivi per la smart home ormai a oltre cinque anni. L’obiettivo è quello di aiutare produttori e clienti nell’utilizzo di prodotti che possano assicurare elevati standard qualitativi in termini di sicurezza e privacy.

I ricercatori di Bitdefender raccontano di aver esaminato i dispositivi Wyze Cam identificando diverse vulnerabilità che consentono a un aggressore esterno di accedere al flusso audio-video della telecamera o eseguire codice dannoso.
Come confermato nell’analisi dettagliata di Bitdefender le Wyze Cam soffrono di falle di sicurezza che consentono il superamento dell’autenticazione da parte di utenti non autorizzati (CVE-2019-9564), l’esecuzione i codice in modalità remota sfruttando un errore di buffer overflow (CVE-2019-12266) e l’accesso al contenuto della memoria SD inserita nella telecamera.

Wyze (o meglio Wyze Labs) è una società con sede negli Stati Uniti creata da un team di ex dipendenti Amazon.
Il fatto è che le falle di sicurezza, come si vede dagli identificativi, sono state scoperte e segnalate a Wyze dai tecnici di Bitdefender a maggio 2019. Ormai tre anni fa.
La prima vulnerabilità è stata risolta a settembre 2019, la seconda a novembre 2020 e la terza (quella relativa all’accesso ai contenuti della scheda SD) soltanto a fine gennaio 2022.
Mentre le patch correttive sono state distribuite per le versioni 2 e 3 delle Wyze Cam, la prima generazione di Wyze Cam resta ancora oggi vulnerabile in quanto ormai non più supportata.
Bitdefender invita quindi i possessori di Wyze Cam a controllare: i dispositivi più vecchi (2017) potrebbero risultare vulnerabili senza la possibilità di correre le lacune individuate.

Wyze ha così commentato: “valutiamo costantemente la sicurezza dei nostri sistemi e adottiamo misure appropriate per proteggere la privacy dei nostri clienti. Abbiamo apprezzato la divulgazione responsabile di Bitdefender su queste vulnerabilità. Abbiamo collaborato con Bitdefender e abbiamo risolto i problemi di sicurezza nei nostri prodotti supportati. Questi aggiornamenti sono già stati distribuiti nelle nostre ultime app e come aggiornamenti del firmware“.

Come abbiamo consigliato anche nell’articolo pubblicato a suo tempo e citato in apertura, Bitdefender rammenta che gli utenti dovrebbero separare sempre i dispositivi IoT dagli altri sistemi connessi in rete locale. Lo si può fare creando una rete WiFi dedicata per questi device (con un SSID “ad hoc”) oppure collegandola alla rete guest che tutti i principali router permettono di creare (verificare però che la rete guest sia davvero separata dalla rete LAN principale).
In caso di connessioni tramite cavo Ethernet si può usare un router o uno switch che permettono di configurare VLAN e segmentare la rete.

Bitdefender propone anche l’utilizzo della sua app gratuita Smart Home Scanner per scansionare i dispositivi connessi, identificare ed evidenziare quelli vulnerabili. I proprietari di dispositivi IoT dovrebbero anche assicurarsi di usare le versioni del firmware più recenti e aggiornare i dispositivi non appena il fornitore rilascia nuove versioni.

Per ridurre al minimo i rischi di compromissione, gli utenti di smart home dovrebbero considerare l’adozione di una soluzione di cybersecurity di rete integrata nel router.

Come nota finale, aggiungiamo che le videocamere IP così come qualunque altro dispositivo IoT non dovrebbero essere esposti sulla porta WAN e raggiungibili dalla rete Internet. Un modo per proteggersi da eventuali tentativi di attacco provenienti dalla rete esterna è abilitare la connessione da remoto ai dispositivi solo previo collegamento a un server VPN locale.