skip to main | skip to sidebar
7 commenti

GoPro intercettabili via Wi-Fi

Si parla tanto di Internet delle Cose: tutto deve essere interconnesso. Si parla meno dei problemi di sicurezza e di privacy che quest'interconnessione può causare inaspettatamente.

Un esempio? Fate attenzione se avete usato le funzioni Wi-Fi della videocamera sportiva GoPro: la password che consente accesso alla videocamera e di vederne foto e video tramite smartphone era custodita in chiaro sul sito della GoPro.

Infatti il ricercatore di sicurezza informatica israeliano Ilya Chernyakov ha scoperto che c'era un difetto nella procedura di ripristino di nome e password Wi-Fi della GoPro, per cui l'identificativo SSID e la password della rete Wi-Fi create dalla videocamera venivano custoditi sul sito della GoPro in un file il cui link era facilissimo da indovinare (era basato su un numero progressivo). A titolo dimostrativo, Chernyakov ha scaricato le password di più di mille utenti GoPro.

In pratica questa falla consentiva a chiunque fosse a portata del segnale Wi-Fi di una GoPro di intercettarne le immagini e prenderne il controllo. Dato che queste videocamere vengono spesso usate non solo per riprese sportive ma anche per altre attività più intime, il rischio era significativo. La falla è stata notificata responsabilmente al produttore e ora è chiusa.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (7)
> La falla è stata notificata responsabilmente al produttore e ora è chiusa.

Falla? Custodire una password in chiaro è una falla? A me pare che abbiano costruito uno scafo già col buco, altro che falla!
"Dato che queste videocamere vengono spesso usate non solo per riprese sportive ma anche per altre attività più intime"

Mi piace quando dai per scontata un'affermazione arbitraria, non dimostrata e sicuramente discutibile =)

Ma chi mai dovrebbe usare una GoPro, la cui sensibilità alle basse luci è pessima e la cui caratteristica è l'ottica estremamente grandangolare, per riprendere "attività intime" al posto di un banalissimo cellulare, che ha una serie infinita di vantaggi (tipo: vedi cosa inquadri, non hai un'ottica così grandangolare - verrebbe piccolo perfino il pisello di Rocco con quel grandangolo, tipicamente hai un LED che può essere impiegato oltre che come flash nelle foto come fonte di luce continua nei video, puoi rivedere subito il video, eccetera eccetera).

Al di là della questione in sè... come dire "ho perso le chiavi di casa a New York"... beh, su, io dormirei tranquillo uguale. Le condizioni perché questa "falla" venga utilizzata è:
a) che sappiano in che parte del mondo si trova la mia GoPro
b) che sappiano quando e dove la uso
c) che siano a portata del wifi (che per la GoPro è poche decine di metri) quando l'accendo

E poi sulla schedina dovrebbero esserci memorizzate foto / video compromettenti.

Adesso, ok, hanno fatto le cose a cazzo ma onestamente credo che tu possa fare un passo in avanti e smetterla di prospettare rischi del tutto ipotetici ma completamente inverosimili - quando semplicemente per ogni video rubato in quel modo ce ne saranno infiniti rubati per schedine perse o prestate cancellando i file alla buona, senza le opportune precauzioni.

Non esiste, non è pensabile, non è rilevabile o comunque non è dimostrabile un rischio REALE (rischio reale in contrapposizione al rischio potenziale, potenzialmente mi può arrivare un asteriode in testa in questo momento, però non mi sembra che tu faccia allarmismo per questo), quindi perché calcare la mano quando finché parli della falla stai facendo corretta informazione?

Smettila di pestare i piedi per terra frignando, cribbio! :D
Ma usare un router invece di fare da server no?
password in chiaro??? Nel 2015???? Sì...buonanotte......
Fx,

Mi piace quando dai per scontata un'affermazione arbitraria, non dimostrata e sicuramente discutibile =)

Puoi verificare che è corretta googlando per esempio "gopro nsfw" oppure "gopro bl*wjob" e simili.


Le condizioni perché questa "falla" venga utilizzata è:
a) che sappiano in che parte del mondo si trova la mia GoPro
b) che sappiano quando e dove la uso
c) che siano a portata del wifi (che per la GoPro è poche decine di metri) quando l'accendo


Esatto. Non è uno scenario frequente, e infatti ne parlo per mostrare come la sicurezza è un processo che ha pieghe e sfumature inaspettate.


E poi sulla schedina dovrebbero esserci memorizzate foto / video compromettenti.

O interessanti per qualche altro motivo. E' una questione che non riguarda solo le GoPro. Per esempio, metti che un fotografo di moda stia facendo un bel po' di scatti a Cindy Crawford usando una delle tante fotocamere che mandano in tempo reale le foto via Wi-Fi a un monitor esterno o a un server (prassi frequente).

Via Wi-Fi viaggiano quindi anche gli scatti brutti, quelli pre-Photoshop, che mostrano le smagliature e le imperfezioni della realtà. E quelli dove la modella si cambia d'abito e quindi si mostra senza vestiti.

Metti che qualcuno le intercetti e le catturi e le venda a TMZ o altri siti di gossip. A volte succede.

Ne parlo perché il caso della GoPro è interessante in quanto la violazione non è colpa dell'utente ma del fornitore del dispositivo.
Uhm... ora aggiorno la lista delle cose non da fare:

- non andare sulla Luna.... Ok! non fatto
- non andare su ISS ... Ok! non fatto
- non cambiare Christine (la mia UNO) ... Ok! non fatto
- ...
- ...

- non vencere alla lotteria ... Ok! non fatto
- ...
...

- non compare la GOPro Ok! non fatto
Andy,

Ma usare un router invece di fare da server no?

Dipende. Se sei in giro portarti addosso anche un router è zavorra e un oggetto un più che si può guastare/scaricare. DI solito la GoPro la usi in scenari d'azione, dove non c'è corrente e devi stare leggero e agile.