Google blocca Xiaomi dalla sua piattaforma a causa di un incidente di sicurezza

Xiaomi Surveillance Cameras Security Bug

Le persone tendono a reagire in modo eccessivo alle notizie sulla sicurezza informatica di tanto in tanto, soprattutto quando l'incidente ruota attorno a un numero crescente di dispositivi IoT che stanno diventando parte integrante della nostra vita quotidiana. A volte, i ricercatori della sicurezza trovano vulnerabilità in questi gadget, che spesso creano titoli apocalittici e previsioni di un destino imminente. In alcuni casi, tuttavia, l'attenzione dei media è completamente ingiustificata perché la vulnerabilità è difficile da sfruttare e un attacco in natura è impraticabile.

Recentemente, le persone hanno parlato di un bug in una delle telecamere di sorveglianza economiche di Xiaomi. Ha attirato un bel po 'di rapporti, sia da punti di informazione specializzati che tradizionali. Ora proveremo a scoprire se l'intero brouhaha è giustificabile.

Un mix di feed video può avere gravi conseguenze sulla privacy

La prima cosa che dovremmo probabilmente menzionare è che il bug non è stato scoperto da un ricercatore di sicurezza. È stato reso noto la scorsa settimana da un utente Reddit che portava il soprannome Dio-V che aveva acquistato una telecamera di sorveglianza IP economica da Internet. La fotocamera in questione era la Xiaomi Mijia 1080p - una soluzione apparentemente perfetta per chiunque cercasse di ottenere la videosorveglianza con un budget limitato. Oltre al prezzo interessante di circa $ 20, Mijia 1080p offre anche l'integrazione con Google Home e Alexa di Amazon.

Un proprietario di Google Home, Dio-V, era ansioso di collegare la nuova fotocamera Xiaomi alla sua rete e vedere come funziona. Lo collegò al suo dispositivo Nest e tentò di accedere al feed video. Invece di vedere una stanza familiare, tuttavia, vide una foto di casa di qualcun altro. Perplesso, rinfrescò la poppata e fu accolto con un'altra immagine fissa, questa volta della casa di un'altra persona.

I timestamp sulle immagini suggerivano che le telecamere che Dio-V stava guardando erano situate in diverse parti del mondo. Erano tutte fotocamere Xiaomi Mijia 1080p, tuttavia, che hanno dato a Dio-V un'idea abbastanza precisa di dove si trova il bug.

Ha condiviso le sue scoperte su Reddit e il thread è diventato virale abbastanza rapidamente. Questa non dovrebbe essere davvero una sorpresa.

Google sospende le integrazioni del prodotto Home di Xiaomi a causa del bug

Il bug scoperto da Dio-V era estremamente grave. Alcune immagini trapelate sono state corrotte, ma nonostante ciò, la vulnerabilità ha comportato la fuga di foto di persone ignare mentre si trovavano nella privacy delle proprie case. Inoltre, mentre lo sfruttamento di altre falle della sicurezza dell'IoT spesso richiede una qualche forma di "hacking", indovinare le password o scansionare Internet alla ricerca di reti errate, nel caso della telecamera IP economica di Xiaomi, il bug si manifesta nel momento in cui l'utente prende il dispositivo pronto all'uso. Per questo motivo, Google non ha atteso alcun secondo invito e ha immediatamente sospeso tutte le integrazioni di Xiaomi Mi Home con Google Home, nonostante il colosso cinese dell'elettronica non avesse confermato l'esistenza del problema in quel momento.

Più tardi, Xiaomi ha ammesso che il bug era reale. È stato causato da un aggiornamento della cache implementato il 26 dicembre, progettato per migliorare la qualità di streaming della videocamera. Secondo una dichiarazione citata dalla polizia Android , la vulnerabilità ha avuto un impatto limitato. Apparentemente Xiaomi ha scoperto che erano state interessate solo 1.044 telecamere e, tra queste, solo quelle che avevano una scarsa connessione di rete avrebbero potuto finire per mostrare immagini delle case di altre persone. Il fornitore si è scusato per il problema e ha assicurato agli utenti che è stato risolto. Tuttavia, se Google abbia ripristinato le integrazioni di Xiaomi Mi Home, per ora rimane sconosciuto.

In questo caso particolare, possiamo tranquillamente affermare che l'attenzione che questo incidente ha attirato è del tutto giustificabile. Peggio ancora, serve come prova che più il mondo diventa connesso, più bug come questo vedremo. Xiaomi non è il primo grande fornitore a scoprire che i suoi prodotti possono compromettere la privacy delle persone e puoi essere abbastanza sicuro che non sarà l'ultimo. Questo è qualcosa a cui dovresti probabilmente pensare prima di connettere il prossimo gadget novità alla tua rete Wi-Fi domestica.

January 9, 2020

Lascia un Commento