L'accesso alle videocamere con campanello può essere mantenuto anche dopo una modifica della password, scopre gli studenti della Florida

Uno studio recente ha dimostrato che quando si tratta di account online, gli utenti non sono così entusiasti di cambiare la propria password, anche quando ci sono prove che i loro dati di accesso potrebbero essere stati compromessi. Chiaramente non conoscono particolarmente i potenziali pericoli associati a questo, e molti di loro hanno adottato la mentalità "non mi succederà".

Se le telecamere di sicurezza installate nelle loro case sono comunque preoccupate, probabilmente staranno molto più attenti. Il potenziale impatto sulla privacy di una persona è molto più evidente e gli utenti sono probabilmente più consapevoli delle conseguenze, il che significa che useranno tutti gli strumenti di controllo dell'accesso che hanno per garantire che le loro telecamere non siano accessibili agli estranei. Un altro documento di ricerca accademica, tuttavia, mostra che questo potrebbe essere molto più difficile di quanto sembri.

Quando si tratta di telecamere IoT, una password modificata non significa necessariamente accesso revocato

Lo studio è stato condotto da Blake Janes, uno studente del Florida Institute of Technology, e si basa su uno scenario molto plausibile. Immagina una coppia di nome Alice e Bob, che vivono in una casa dotata di videocamere di sicurezza e campanello collegate a Internet. Entrambi hanno accesso al feed live dalle telecamere e possono controllarli. Ad un certo punto, tuttavia, i due si dividono e Bob si allontana. Alice vuole assicurarsi che Bob non abbia più accesso ai dispositivi di sorveglianza, motivo per cui cambia le password delle telecamere o utilizza altri strumenti disponibili per assicurarsi che solo lei possa vedere lo streaming. Quello che Blake Janes ha scoperto è che con molte fotocamere moderne, Bob sarà in grado di accedere al flusso video anche dopo la modifica della password.

Janes prese 19 delle più famose telecamere collegate a Internet dell'anno scorso e condusse non uno ma due esperimenti. Innanzitutto, ha provato a limitare l'accesso alle telecamere modificando le password, ma ha scoperto che solo 3 dei 19 dispositivi hanno bloccato Bob immediatamente. Alcuni dei video stream sono rimasti disponibili per oltre 30 minuti dopo la modifica della password e 4 telecamere hanno persino lasciato a Bob i diritti amministrativi per controllare i dispositivi.

Il secondo scenario prevedeva la revoca completa dell'account di Bob. 13 delle 19 telecamere supportano più account e tutti non sono riusciti a interrompere immediatamente l'accesso di Bob al feed. Otto di loro sono rimasti aperti per più di 30 minuti.

Non è una vulnerabilità, è un difetto di progettazione

Il meccanismo di autenticazione con questi dispositivi è piuttosto complesso. Quando Bob accede al suo account, si connette al server API del produttore. Da lì, riceve un token che gli consente di accedere al flusso della telecamera ospitato su un altro server. Quando Alice cambia la password della telecamera o revoca l'account di Bob, interrompe il suo accesso al server API, il che significa che Bob non può ottenere un nuovo token. Ne ha già uno, tuttavia, e in alcuni casi, rimane valido per un bel po '.

Il problema principale risiede nella lunga scadenza del token, sebbene Blake Janes sottolinei altri problemi come la mancanza di notifica quando si tratta di chi accede ai dispositivi e allenta le politiche di controllo degli accessi dei server stessi. L'esperimento ha mostrato che le telecamere Nest di Google soffrono degli stessi problemi, motivo per cui Janes ha ricevuto poco più di $ 3.000 come parte del programma di ricompensa dei bug del gigante dei motori di ricerca.

Quando leggi il suo documento di ricerca, tuttavia, avrai l'impressione che questo non sia un bug, ma una decisione consapevole di progettazione. La lunga scadenza del token toglie un po 'di pressione dai server ed elimina la necessità di inserire nomi utente e password in ogni momento. Secondo il documento, le app non visualizzano notifiche di accesso costanti per ridurre la cosiddetta fatica da avvertimento. In altre parole, tutti questi difetti sono il risultato del tentativo dei venditori di rendere i dispositivi più user-friendly.

È l'ennesimo trionfo dell'usabilità sulla sicurezza. Questa volta, tuttavia, si tratta di dispositivi che dovrebbero proteggere noi e la nostra privacy, motivo per cui alcuni venditori stanno già lavorando ai problemi evidenziati dalla ricerca di Blake Janes. Spero che troveranno presto soluzioni.