Bitdefender scova le vulnerabilità di Amazon Ring Doorbell

Bitdefender scova le vulnerabilità di Amazon Ring Video Doorbell Pro

Bitdefender individua una vulnerabilità nell’Amazon Ring Video Doorbell Pro; un malintenzionato potrebbe intercettare le credenziali di rete Wi-Fi del proprietario.
La vulnerabilità faceva parte di un processo di divulgazione responsabile, è stata corretta e distribuita tramite aggiornamento automatico da parte del team di sviluppo di Ring.

Una volta in possesso della password Wi-Fi di un utente, il criminale informatico ha pieno accesso alla rete e vale la pena ricordare che la sicurezza sulla rete interna è davvero minima; molti dispositivi (come le Smart TV) permettono l'interazione anche senza autenticazione di sorta.

Qui di seguito alcuni esempi delle attività possibili da parte di un pirata informatico ad insaputa dell’utente:
- Interazione con tutti i dispositivi della rete domestica;
- Intercettazione del traffico di rete ed esecuzione di attacchi man-in-the-middle;
- Accesso a tutti gli archivi locali (NAS, ad esempio) e successivamente a foto private, video e altri tipi di informazioni;
- Sfruttamento di tutte le vulnerabilità esistenti nei dispositivi collegati alla rete locale e accesso completo a tutti i dispositivi; ciò può portare alla lettura di email e conversazioni private;
- Accesso alle videocamere di sicurezza e furto delle registrazioni video.

Come funziona la vulnerabilità
Durante la fase di configurazione, l'app mobile invia le credenziali di rete Wi-Fi in testo normale al dispositivo Ring Video Doorbell Pro. Questo permette all'hacker di “restare in ascolto” dei pacchetti e di scoprire i dati sensibili di cui ha bisogno per connettersi al Wi-Fi dell'utente.

In particolare:
- L'aggressore non ha bisogno di sapere nulla della rete della vittima e non ha bisogno di essere associato a quell’access point Wi-Fi. Lo sniffing dei pacchetti Wi-Fi trasmessi su canali non criptati è standard nel documento RFC per il Wi-Fi.
- Gli aggressori possono attivare la riconfigurazione del Ring Video Doorbell Pro per esempio inviando continuamente pacchetti di de-authentication, in modo che il dispositivo venga sganciato dalla rete wireless. A questo punto, l'applicazione perde la connettività e chiede all'utente di riconfigurare il dispositivo.

Cosa deve fare l'utente
Il dispositivo ha già ricevuto un aggiornamento automatico di sicurezza che risolve il problema, per cui gli utenti di Ring Video Doorbell Pro devono assicurarsi di avere installato l'ultimo aggiornamento per essere protetti e al sicuro.