La comunicazione giunge dai ricercatori BitDefender: il sistema di videosorveglianza intelligente di Netatmo è stato vulnerabile tra fine 2019 e inizio 2020, aprendosi quindi ad attacchi tali da poter consentire un pieno controllo del sistema da parte di un utente non autorizzato. Il rischio in questi casi è del tutto ovvio: è come avere un occhio costantemente acceso sulla propria quotidianità.

Mentre le ricerche del team di Bitdefender in passato hanno mostrato esempi reali in cui i criminali informatici potevano dirottare e controllare i dispositivi da remoto, questa situazione è un po’ diversa: le vulnerabilità qui descritte infatti, possono aiutare un utente legittimo o una terza parte che conosce le corrette credenziali ad effettuare il jailbreak del dispositivo e assumerne il pieno controllo. E, se da un lato è facile immaginare come possa venire utilizzato questo dispositivo nella vita di tutti i giorni è altrettanto semplice capire come, controllate da terze parti, queste videocamere consentano di spiare a insaputa dell’utente cosa accade nell’abitazione.

BitDefender ha regolarmente segnalato il problema riscontrato al team Netatmo, il quale ha risolto il tutto nel giro di poche settimane: da gennaio il problema non sussiste più grazie alla collaborazione instauratasi.

Nel dettaglio, spiega la comunicazione BitDefender, “gli studi di Bitdefender hanno rilevato come il webserver in esecuzione sulla videocamera sia vulnerabile ad una scrittura di file che può essere sfruttata per ottenere la possibilità di eseguire dei comandi con i privilegi del server attivo. Per accedere a questa funzionalità, un aggressore deve conoscere il percorso segreto della videocamera (per gli attacchi locali), oppure ottenere l’accesso all’account utente (attraverso stuffing delle credenziali, phishing, ecc.) per inviare comandi utilizzando la connessione VPN. Con la seconda vulnerabilità invece, il dispositivo è suscettibile di un’escalation di privilegi (un aggressore può ottenere l’accesso root) tramite l’exploit dirtyc0w“.