Cosa verifichiamo

L'uso delle fotocamere, le telecamere installate su un computer o su uno smartphone, con la pandemia è cresciuto notevolmente per lavoro o per tenersi in contatto con le persone care. Ma questo deve farci riflettere in chiave sicurezza. È possibile prendere il controllo remoto della fotocamera di un telefono o del Pc? E come possiamo proteggere la nostra privacy da occhi indiscreti?

Analisi

La scena che abbiamo visto più volte in Tv in cui un hacker prende possesso della telecamera del Pc o dello smartphone della vittima è tutt’altro che finzione. Esistono diversi modi con cui un malintenzionato potrebbe prendere il controllo della fotocamera e spiare le ignare vittime. Un attaccante potrebbe infettare il computer o lo smartphone della vittima con un codice malevolo (malware) in grado di prendere possesso della fotocamera e persino del microfono. Esistono molteplici aziende specializzate nello sviluppo di software di sorveglianza che hanno sviluppato queste capacità. I loro software - come il famigerato Pegasus - sono tristemente noti e sono al centro di un acceso dibattito a causa degli abusi scoperti negli anni da associazioni per la difesa dei diritti umani.

Altra possibilità è quella di sfruttare una falla nel sistema operativo del dispositivo o in applicazioni che hanno i diritti di accesso alla fotocamera. In questo caso un attaccante potrebbe dapprima avere accesso alla rete cui il dispositivo è connesso per poi fruttare la vulnerabilità per accedere alla fotocamera. In passato è stato dimostrato un attacco che, sfruttando una falla nel popolare sistema di video conferenza Zoom, consentiva di poter manipolare la configurazione della fotocamera in remoto. La falla è stata risolta una volta divenuta di dominio pubblico.

Un’altra tecnica utilizzabile consiste nel compromettere un sito web che una volta visitato dalla vittima sfrutta un codice inserito nel contenuto di una pagina che abilita la telecamera dell’utente. In questo caso potrebbe essere necessario richiedere all’utente un’autorizzazione esplicita, un gioco da ragazzi se la richiesta è visualizzata dall’utente con false finalità.

Un’altra opzione consiste nell’avere accesso fisico al dispositivo della vittima per installare un software in grado di prendere il controllo della camera. Esistono numerose applicazioni legittime che consentono di controllare da remoto la camera di un dispositivo.

Val la pena sfatare anche falsi miti circa la compromissione della fotocamera di uno smartphone. Un attaccante non sarà in grado di guardare in tempo reale attraverso la fotocamera di un telefono semplicemente compromettendo l’account iCloud o Google associato. La compromissione degli account darà accesso solo ai file degli utenti, immagini e video sincronizzati sul cloud.

A prescindere dal metodo utilizzato, in molti si chiederanno se è facile rendersi conto che la telecamera sia accesa. Diversi dispositivi segnalano l’accensione della fotocamera camera con una luce o con una segnalazione apposita all’utente. Tuttavia, queste segnalazioni potrebbero essere bloccate una volta compromesso il dispositivo.

Conclusioni

Per impedire che un attaccante si impossessi della telecamera dei nostri dispositivi è necessario innanzitutto installare un software antivirus e mantenere aggiornato il sistema operativo ed i software utilizzati. Alcuni software anti-malware forniscono specifiche funzionalità per la protezione della camera dei dispositivi. Fare attenzione ad e-mail sospette ed ai siti web che si visitano evitando di cliccare su link o aprire allegati da mittenti non ritenuti affidabili o sconosciuti. Installare solo software ed applicazioni da fonti ritenute affidabili, nell’immagine seguente sono riportati alcuni consigli forniti dall’azienda di sicurezza Norton per la protezione della camera dei dispositivi mobili. Altra possibile contromisura consiste nel coprire la camera quando non è in uso, sul mercato sono disponibili stickers allo scopo e persino sportelli adesivi da appore sui dispositivi. Anche Mark Zuckerberg è noto per coprire la fotocamera del suo computer.

Fonte

Pierluigi Paganini, Ceo di Cybhorus, professore di Cybersecurity presso l'Università Luiss Guido Carli e coordinatore scientifico Sole 24 Ore formazione.