Bug nelle webcam

Buongiorno cari lettori,  oggi parleremo di telecamere.

La maggior parte delle volte, quando i ricercatori della sicurezza si imbattono in vulnerabilità, le cercano attraverso la scansione dei dispositivi in entrata e in uscita. Questa volta, però, nell'ultima edizione, un agricoltore che come  hobby cercava solo di beccare qualcuno che mangiava le foglie della sua pianta di cetriolo quando si imbatteva in difetti in una telecamera Kasa.

Messo in posizione, Jason Kent della Cequence Security ha installato l'applicazione mobile della fotocamera per vedere le foto della macchina fotografica puntata verso la sua pianta. Queste foto, dice, venivano trasmesse dall'app che si connetteva in rete direttamente alla telecamera, ma potevano essere viste anche se lui stesso non era connesso alla rete.

Naturalmente preoccupato, Kent ha esaminato più da vicino la situazione, rivelando diversi problemi. In primo luogo, esaminando la crittografia della trasmissione dei dati, ha scoperto che, nonostante l'uso dell'SSL, il certificato non era bloccato, il che rendeva "facile aprirlo e guardare le transazioni".

In secondo luogo, è stato rivelato che la codifica di Base64 veniva utilizzata per le credenziali utente invece di misure aggiuntive e più sicure come l'hashing, che non è esattamente la cosa migliore da fare quando si protegge una rete.

Andando avanti, in un post del blog, Kent spiega in dettaglio un'altra vulnerabilità:

Per me era altrettanto preoccupante il fatto che l'autenticazione alla piattaforma web, non la connessione diretta alla telecamera, fornisse messaggi di errore API molto verboso. Dato che ho usato il mio indirizzo e-mail come nome utente, come la maggior parte delle persone su questa piattaforma, una semplice serie di richieste consentirebbe di enumerare gli account degli utenti sulla piattaforma.

I messaggi verbosi menzionati da Kent sono i seguenti:

Messaggio di nome utente errato: {"codice_errore":-20600, "msg": "Account non trovato"}.

Messaggio di password errata: {"error_code":-20601, "msg": "Password errata"}

Come si potrebbe pensare, questi messaggi di errore potrebbero consentire a un aggressore di raccogliere facilmente un elenco di nomi utente legittimi e quindi condurre attacchi con password attraverso tecniche come il riempimento delle credenziali.

Per concludere, come per ogni rivelazione di vulnerabilità, la questione è stata segnalata alla società madre di Kasa, TP-LINK, il 5 marzo 2020.

Subito dopo un paio di scambi di informazioni, l'11 giugno 2020 sono tornati con una nuova versione del firmware sia per l'applicazione che per la fotocamera stessa, affrontando il problema del pinning SSL e della codifica di Base64. Tuttavia, il problema del messaggio d'errore rimane ancora in capo all'azienda, che ha intenzione di risolverlo in futuro.

Un estratto dell'intero rapporto è che solo l'introduzione di misure come la SSL non è sufficiente, la loro attuazione nel modo giusto e secondo le migliori pratiche dovrebbe essere la priorità di ogni sviluppatore. Inoltre, come suggerito da Kent, i messaggi di errore dovrebbero essere molto limitati nelle informazioni che trasmettono agli utenti, in modo da non essere utilizzati in modo improprio dagli attori della minaccia.

spero che questo articolo vi sia piaciuto, noi ci vedreo ad un prossimo articolo.