Leaderboards
Leaderboards
Direttore responsabile Raffaella Zelia Ruscitto
Skyscraper 1
Skyscraper 1
Skyscraper 2
Skyscraper 2

Quer pasticciaccio brutto delle telecamere Hangzou Xiongmai Technology

Magari non lo sapete ancora ma tutto il mondo vi sta già guardando, attraverso la vostra telecamera...

di Michele Pinassi

www.zerozone.it

SIENA. La Hangzou Xiongmai Technology Co. è una azienda cinese che produce webcam per molti marchi, tra cui: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision / sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo, ZRHUNTER.

Sono state recentemente scoperte alcune importanti vulnerabilità su tali dispositivi, dal software XMeye P2P Cloud server (CVE-2018-17915) alla presenza di credenziali hardcoded nascoste nel firmware.

Quali sono le potenziali conseguenze ?

L’analisi approfondita di queste vulnerabilità, condotta dalla Sec Consult, descrive in dettaglio le potenziali problematiche:

  • Il “voyeur” – sfruttando le credenziali di default, un eventuale malintenzionato può accedere al dispositivo e guardare cosa la webcam sta riprendendo, audio incluso;
  • Lateral attacks – conquistando l’accesso ad uno di questi dispositivi, un eventuale attaccante può garantirsi l’accesso a tutta la rete privata dove è connesso (“attacco laterale“);
  • Botnet – Come già avvenuto con la botnet Mirai, provocando pesantissimi DDoS, questi dispositivi possono essere utilizzati per attacchi mirati del tipo Distribuited Denial of Service;

Ci tengo a sottolineare che chiunque abbia in casa uno di questi dispositivi potrebbe, quindi, non solo essere inconsapevolmente spiato ma diventare, sempre non sapendolo,  soldato di un “esercito” utilizzato dai criminali per compiere attacchi DoS distribuiti. Con conseguenze che vanno dal semplice rallentamento della linea Internet ad essere messi sotto indagine per reati più o meno gravi.

Come verifico se le mie telecamere sono vulnerabili?

Sempre dal succitato report della Sec-Consult, che cito volentieri visto l’ottimo lavoro svolto, per sapere se la nostra telecamera di sicurezza è stata prodotta dall’azienda Xiongmai (che, peraltro, al momento non sembra aver rilasciato nessun aggiornamento di sicurezza) possiamo verificare se nella schermata di login compare qualche elemento identificativo della stessa:

Potete verificare se le credenziali di default sono attive, usando come username “default” e come password “tluafed” (“default” al contrario), probabilmente la falla più grave di questi dispositivi.

Oppure potete controllare se il server web usato è uc-httpd, peraltro suscettibile di una vulnerabilità del tipo buffer overflow (CVE-2018-10088) il cui relativo exploit è pubblicamente disponibile sul web almeno da Luglio 2018. Una veloce ricerca sul motore di ricerca Shodan.io restituisce, per uc-httpd, oltre 603.000 dispositivi connessi pubblicamente alla Rete (più di 11.000 solo in Italia)….

Interessante anche la considerazione dell’esperto di sicurezza Brian Krebs che, attraverso il suo blog KrebsOnSecurity.com, definisce queste aziende “inquinatrici del Web“, diffondendo hardware vulnerabile e regalando ai malintenzionati strumenti per i loro attacchi. Tali prodotti, uniti alla scarsa consapevolezza informatica di molti utilizzatori, contribuisce alla presenza di “bombe logiche” che provocano, ogni anno, milioni di euro di danni alle infrastrutture e servizi informatici di tutto il mondo.

L’importanza di proteggere la propria rete casalinga

Per finire, è importante proteggere adeguatamente la propria rete casalinga impedendo qualsiasi accesso ai dispositivi interni dalla rete Internet. Certo, lo so che è comodo poter vedere il proprio salotto dallo smartphone mentre si è lontani, magari in vacanza, ma le conseguenze di tali leggerezze possono essere molto pesanti. A proposito, vi avevo già parlato del sito russo insecam.org? Magari non lo sapete ancora ma tutto il mondo vi sta già guardando, attraverso la vostra telecamera…

[banner_mobile]
Are you looking for Krnl this is best Roblox executor this is one of the finest roblox executor.
Download Rapid Streamz for Android, this app will help you stream over 800+ TV channels! Watch free Live TV on Android using the best live tv app for Android. Rapid Streamz application is specially designed for those people who want to enjoy their favorite television shows and movies on the go.
Are you looking for Openiv which is one of the best modding toolset for the PC Versions of GTA 5, GTA 4, Episodes From Liberty City (EFLC) and Max Payne 3, etc. Latest version of the app supports Red Dead Redemption 2 as well. The toolset allows the users to view and alter the game files.
This is CodeX Executor which is a potent application designed to empower Roblox players by allowing them to run scripts within popular Roblox games such as Blox Fruits, Pet Simulator X, Project Slayers, Murder Mystery 2, Adopt Me, Arsenal, and many more.
Enhance your Roblox experience with BTRoblox which is extension that aims to enhance Roblox's website by modifying the look and adding to the core website functionality by adding a plethora of new features.
Winlator is a powerful tool that allows you to run Windows applications and games on your Android device. With Winlator, you can enjoy your favorite PC games on the go, all without the need for a high-end gaming PC. This opens up a whole new world of gaming possibilities, as you can now play your favorite titles anywhere and anytime.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
Sportsfire is a free live-streaming application that focuses on sporting events and is available for installation on Firestick, Fire TV Cube, Fire TV, and Android TV/Google TV Boxes.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
In the age of digital streaming, inat tv Inat TV APK is one of the most video streaming free application. Finding a reliable and feature-rich application to access your favorite TV shows, movies, and live channels has become crucial.
Krira TV is a free sports streaming app that allows fans around the world to watch their favorite sports events in HD quality.
Experience endless entertainment with blink streamz the top Free Live TV App for Android, offering free live sports streaming and more. Enjoy a vast selection of TV channels on your Android device.
krnl
cinema hd
beetv
inat tv
spotiflyer
aniyomi
saikou
scipt hook v
fluxus executor
flix vision
egg ns
fs23 mods
strato emulator
gacha nebula