La società cinese bandita dagli Usa ammette una grave vulnerabilità “zero-click”. Tra i prodotti colpiti non sembrano esserci quelli installati dai dicasteri di Cultura e Giustizia in Italia. Ma rimangono forti i timori della sorveglianza cinese
Oltre 100 milioni di dispositivi della cinese Hikvision, colosso cinese della videosorveglianza bandito dagli Stat Uniti e definito dalla Federal Communications Commission “un rischio inaccettabile per la sicurezza nazionale”, sarebbero stati interessati da una grave vulnerabilità (del tipo “zero-click unauthenticated remote code execution”) scoperta da Watchful_IP e riconosciuta – e risolta – dalla stessa azienda.
Hikvision ha definito la vulnerabilità di livello 9.8. “Il più alto” registrato, secondo chi ha scovato il problema. Il sito specializzato Ipvm ha stimato in oltre 100 milioni i dispositivi potenzialmente interessati. Si tratta della “più grave vulnerabilità” per l’azienda cinese, sostiene Ipvm, da quando, nel 2017, fu scoperta una backdoor che permetteva di eseguire operazioni da amministratore pur senza averne le credenziali.
Secondo Watchful_IP non si tratta “sicuramente” di una “backdoor imposta dal governo cinese”, mentre Ipvm insiste sul fatto che l’azienda è controllata da Pechino.
Così Watchful_IP descrive la vulnerabilità: “Serve soltanto l’accesso alla porta del server http(s) (generalmente 80/443). Non è necessario alcun nome utente o password né alcuna azione da parte del proprietario della telecamera. Non sarà rilevabile da nessuna registrazione sulla telecamera stessa”.
Ipvm insiste sulle responsabilità del governo cinese alla luce di una nuova legge, in vigore dal 1° settembre scorso, che prevede che le informazioni relative alla vulnerabilità devono essere segnalate al ministero dell’Industria e della tecnologia dell’informazione entro 2 giorni. Watchful_IP spiega che Hikvision ha confermato di aver riprodotto la vulnerabilità il 23 giugno, nota il sito sottolineando i rischi della tecnologia cinese.
Formiche.net ha confrontato i prodotti affetti dalla vulnerabilità con le oltre 100 che sorveglieranno corridoi, ingressi e uffici del ministero italiano della Cultura e con le più di 1.000 acquistate dal ministero della Giustizia per controllare le sale intercettazioni – entrambi casi rivelati da Wired: non sembrano esserci corrispondenze.
Ma il caso è destinato ad alimentare nuove polemiche sulla sicurezza delle tecnologie made in China.
Ad aprile, dopo la pubblicazione dell’articolo di Wired sulle telecamere Hikvision acquistate per sorvegliare le sale intercettazioni delle procure italiane, la Lega aveva presentato un’interrogazione, primo firmatario Massimiliano Capitanio, chiedendo al governo se “non ritenga che l’utilizzo di telecamere cinesi di cui in premessa possa rappresentare un rischio per la sicurezza pubblica nazionale”. Delegato a rispondere è il ministero della Giustizia che però non ha ancora dato il suo riscontro.
