Oltre sei mesi fa Bitdefender ha avvertito Guardzilla di alcune vulnerabilità che riguardavano Guardzilla Indoor Security Camera, senza però ricevere risposta.
Guardzilla produce telecamere di sicurezza dal monitoraggio discreto, facili da usare e installare a casa, che hanno come obiettivo quello di fornire sicurezza fisica contro furti e intrusioni. Si integrano con le reti domestiche, sono facilmente gestibili tramite smartphone e app dedicata. Secondo le statistiche di Google Play, hanno oltre 100.000 installazioni e più di 4000 recensioni verificate. Oltre agli utenti Android, esiste un’ampia comunità Apple che sta usando i prodotti Guardzilla. Secondo una ricerca Bitdefender, si stimano circa 410.000 dispositivi attivati di Guardzilla.
Cosa ha riscontrato Bitdefender
Bitdefender ha analizzato Guardzilla Indoor Security Camera dal punto di vista della sicurezza e ha identificato diverse vulnerabilità. Queste vulnerabilità possono essere sfruttate per compromettere la telecamera, il che si traduce in un grave impatto sulla privacy da parte dell’utente. I criminali possono connettersi da remoto alla telecamera, ottenere pieno accesso per utilizzare il dispositivo e accedere allo streaming video in diretta.
Tre i tipi di attacco identificati da Bitdefender, ognuno dei quali offre il pieno controllo della videocamera di Guardzilla:
-A – avere il pieno controllo sulla telecamera manomettendo il servizio di autenticazione Guardzilla e impersonando un utente legittimo. Mediante la bruteforcing di ID account univoci, l’utente malintenzionato può richiedere nomi utente (indirizzi e-mail) e password e modificarli senza alcuna conferma.
-B – ottenere il pieno controllo della telecamera e ottenere l’esecuzione di codice remoto sfruttando un componente di comunicazione cloud.
-C – ottenere il pieno controllo del dispositivo impersonando un aggiornamento falso. Conoscendo l’ID utente e la password dei dispositivi (vedi A), l’utente malintenzionato può ottenere l’accesso al sistema abusando del comando di aggiornamento remoto.
Il 28 agosto 2018 Bitdefender ha contattato per la prima volta il fornitore, richiedendo una chiave PGP o un canale sicuro per la divulgazione privata. Bitdefender non ha tuttavia ricevuto un riconoscimento della richiesta. Il 5 settembre Bitdefender segue fino alla richiesta iniziale, ma questa volta non riceve alcuna risposta. Il 23 ottobre Bitdefender riserva CVE-2018-18600, CVE-2018-18601, CVE-2018-18602 in preparazione per la pubblicazione. Sono concessi entro lo stesso giorno. Il 27 dicembre 0DayAlley rilascia informazioni su una vulnerabilità non correlata nella telecamera. Infine il 28 dicembre 2018: Bitdefender rende pubblica la scoperta di queste vulnerabilità.