Uno dei prodotti più innovativi e sponsorizzati dell’ultimo periodo è Insta360. Si tratta di una fotocamera, pubblicizzata anche dagli influencer più noti al grande pubblico, in grado di riprendere l’ambiente circostante a 360°, per l’appunto, con costi elevati, ma una definizione e un frame rate di alto profilo.

È notizia relativamente recente, però, quella della presenza di una preoccupante vulnerabilità all’interno della fotocamera. Questa falla di sicurezza potrebbe permettere ad hacker malintenzionati di prendere il controllo del dispositivo, al fine di visualizzare e scaricare tutte le immagini immortalate dalla macchina a insaputa del legittimo proprietario.

Una vulnerabilità gravissima

Il dispositivo vittima della vulnerabilità è l’Insta 360 One X2. A scoprire la falla è stato un utente di Reddit, cmdr _ siddharta gautama, nel gennaio del 2022.

Secondo quanto dichiarato da questo utente, quando il dispositivo è acceso emette un segnale WiFi 5G denominato “ONE X2 XXXXXXX.OSC”. A questa rete possono connettersi tutti i dispositivi nel raggio utile. Questo perché, a causa delle limitazioni al firmware, gli utenti non possono modificare la password di accesso a questa rete, rendendola disponibile a chiunque si trovi nei paraggi.

Una volta entrati nel sistema, seguire un semplice indirizzo URL con IP associato al legittimo proprietario della fotocamera sarebbe sufficiente a garantire l’accesso illimitato ai contenuti ripresi dalla fotocamera, con la possibilità di scaricare tutti i file multimediali direttamente dal browser.

La risposta di Insta 360

L’azienda Insta360, ovvero la società che ha sviluppato e commercializzato questo dispositivo, con sede centrale a Shenzhen in Cina e uffici in Germania, Stati Uniti e Giappone, ha dichiarato pubblicamente di essere consapevole del problema e di essersi già messa all’opera per trovare una contromisura alla vulnerabilità. Secondo le dichiarazioni di un rappresentante della compagnia, gli sviluppatori si sarebbero già messi al lavoro per aggiornare l’app e il firmware, consentendo così agli utenti di modificare la password per entrare nella connessione WiFi, fonte del problema.

Così facendo, non sarebbe più possibile accedere in maniera fraudolenta alle immagini e ai video ripresi con la fotocamera attraverso il browser. Una volta perfezionata la patch, l’azienda la renderà disponibile ai propri utenti attraverso le note di rilascio, senza aver però fornito una scadenza precisa o una stima del tempo necessario per il completamento di questo importante aggiornamento.

Gli ulteriori rischi legati a questa vulnerabilità

L’atteggiamento di Insta 360 sembra un po’ troppo morbido, considerando la gravità del caso. I rischi all’integrità della proprietà intellettuale dei creatori dei contenuti web non sono solo alti, ma questa vulnerabilità potrebbe fungere anche da trampolino per attacchi ben più gravi e nocivi.

Organizzazioni criminali più strutturate, o anche soltanto hacker più esperti, potrebbero lanciare un attacco drive-by utilizzando strumenti di facile accesso, iniettando dei malware direttamente all’interno della memoria del dispositivo utilizzato (la scheda SD), al fine di raggiungere il computer dell’utente e sottrarre dati ancora più importanti.

Non sappiamo se la diplomazia del rappresentante di Insta360 derivi dalla volontà di ridurre il polverone, i danni alla reputazione aziendale e il rischio che l’integrità delle immagini riprese con Insta 360 One X venga davvero danneggiata, ma è innegabile che ci si sarebbe aspettati una reazione ben più violenta.

Come difendersi da questi pericoli?

Forse molti utenti di Insta 360 che non erano al corrente di questo problema stanno, ora, leggendo sgomenti questo articolo. Nascondersi dietro a un dito non risolverà il problema: una corretta informazione è fondamentale affinché tali vulnerabilità vengano risolte nel minor tempo possibile.

Volendo essere proattivi, quali possono essere le contromisure che un utente medio può mettere in atto per ridurre i rischi?

• Utilizzare una connessione VPN: quando si utilizza un dispositivo che si collega a una rete WiFi, vale sempre la pena utilizzare una connessione sicura e il più possibile anonima. Buoni standard di sicurezza si possono raggiungere anche con una VPN gratis.
• Applicare tutti gli aggiornamenti e installare le patch quanto prima: si dovrebbe procedere subito all’installazione degli aggiornamenti di sicurezza non appena questi siano disponibili. Anche se questa procedura può richiedere tempo e rallentare la produttività dell’utente, è bene essere consapevoli che un mero ritardo nell’installazione di una patch potrebbe provocare problemi ben maggiori di un ritardo nella realizzazione di un filmato.