Arriva dai ricercatori di BitDefender l’allerta di una falla di sicurezza che interessa il dispositivo Ring Video Doorbell Pro commercializzato da Amazon al prezzo di 279 euro: il problema, ora rientrato, consentiva a un malintenzionato di intercettare le credenziali WiFi dell’utente.
Ring Video Doorbell Pro, vulnerabilità risolta
La vulnerabilità è stata scoperta nei mesi scorsi, ma viene resa nota pubblicamente solo oggi dopo che il team di Ring è intervenuto correggendola attraverso il rilascio di un aggiornamento automatico. La responsabilità è da imputare al fatto che durante la fase di configurazione l’applicazione mobile invia al campanello smart le credenziali di rete in testo normale, senza l’impiego di crittografia, dunque in un formato leggibile da chiunque in possesso delle competenze necessarie per intercettare l’informazione. BitDefender specifica che:
- l’aggressore non ha bisogno di sapere nulla della rete della vittima e non ha bisogno di essere associato a quell’access point WiFi poiché lo sniffing dei pacchetti trasmessi su canali non criptati è standard nel documento;
- gli aggressori possono attivare la riconfigurazione del Ring Video Doorbell Pro inviando continuamente pacchetti di de-authentication, in modo che il dispositivo venga sganciato dalla rete wireless così che il l’applicazione perda la connettività e venga chiesto un nuovo setup.
Se le credenziali di accesso alla rete WiFi finiscono nelle mani sbagliate si espone la sicurezza delle proprie informazioni a seri rischi: un malintenzionato può interagire con i dispositivi presenti nella rete domestica, carpire le informazioni trasmesse ed eseguire attacchi di tipo man-in-the-middle, sbirciare tra gli archivi locali alla ricerca di foto, video o documenti, scaricare le registrazioni dei sistemi di sorveglianza e così via. Per i possessori del dispositivo Ring il consiglio è dunque quello di verificare che l’update più recente sia stato correttamente scaricato e installato.