I dati su una dash cam potrebbero dire agli hacker dove vivi, lavori e trascorri del tempo. Abbiamo testato nove modelli per vedere se stavano facendo abbastanza per mantenere privati ​​questi dati

Se un criminale fosse in grado di accedere ai dati su una dash cam, potrebbe usarlo per capire dove vivi, dove lavori, a che ora esci di casa di solito e dove vai, per non parlare della possibilità di eliminare qualcosa di incriminante dalle tue registrazioni

Abbiamo valutato una dash cam di ciascuno dei nove marchi: BlackVue, Garmin, Halfords, Kitvision, MiVue, Nextbase, Road Angel, Transcend e Viofo, per vedere quanto seriamente prendessero la sicurezza. I nostri esperti di laboratorio si sono spacciati per aspiranti hacker, usando tutti i trucchi del libro per cercare di ottenere l’accesso.

Abbiamo scoperto che non una singola dash cam che abbiamo testato offriva una sicurezza completamente degna di Fort Knox, proteggendo i tuoi filmati come lingotti d’oro, e alcuni erano potenziali setacci di sicurezza. Continua a leggere per i nostri risultati completi e cosa stanno facendo i produttori sui rischi per la sicurezza che abbiamo identificato.

Come funzionano le dash cam e come memorizzano le tue informazioni?

Le dash cam registrano la strada davanti (e talvolta dietro) l’auto in modo che il conducente abbia filmati utilizzabili in caso di collisione. Il filmato può essere utilizzato dalla polizia o dalle compagnie assicurative per determinare la colpa in incidenti stradali o casi di guida pericolosa.

Le registrazioni vengono in genere salvate su una scheda micro-SD nella dash cam. Alcune dash cam hanno uno schermo in cui è possibile riprodurre filmati, ma la stragrande maggioranza dispone di un’app per smartphone che si collega tramite Wi-Fi alla dash cam, consentendo invece di guardare i filmati sullo schermo del telefono.

È questa connessione in cui abbiamo scoperto il nostro primo problema di sicurezza con alcune dash cam.

Problema di sicurezza: password predefinite deboli che sono troppo facili da indovinare

La connessione wireless tra una dash cam e l’app per smartphone è solitamente protetta da password, ma la forza di tale password è fondamentale.

Abbiamo scoperto che alcune dash cam di alcuni produttori utilizzavano password predefinite che potevano essere facilmente trovate o violate. Questi includevano:

  • Garmin
  • Halfords
  • Kitvision
  • MiVue
  • Angelo della strada
  • Trascendere
  • Viofo

Cosa significa in pratica?

Alla tua dash cam non importa se sei il proprietario del dispositivo; vuole solo inserire la password giusta. Quindi, se un hacker riesce a indovinare o decifrare la password, potrebbe accedere ai dati della dash cam dal proprio smartphone.

Per fortuna, abbiamo anche scoperto che la finestra per la connessione è piccola e che è necessario premere un pulsante sulla dash cam prima di poterla connettere. Ma mentre questo potrebbe rendere più complicato per un criminale stabilire la connessione, non ci sono scuse per le password deboli.

Nextbase e BlackVue sono esempi di come farlo correttamente. La password predefinita di BlackVue era complessa e difficile da decifrare e Nextbase imposta una password univoca con ogni connessione, quindi nessuna quantità di ricerche su Internet l’avrebbe trovata.

Cosa stanno facendo i produttori al riguardo?

Sulla scorta delle nostre scoperte, Garmin sta rilasciando un aggiornamento al modello interessato per migliorare la sicurezza delle sue password wireless.

Halfords, d’altra parte, ritiene di soddisfare gli standard richiesti. Ci ha detto: ‘Come uno dei più grandi rivenditori di dash cam, prendiamo molto sul serio la sicurezza e vogliamo rassicurare i clienti che l’HDC400 soddisfa tutti gli standard legali per la sicurezza. Dopo aver considerato attentamente tutti i risultati di Which? e aver condotto un’indagine approfondita, siamo fiduciosi che la sicurezza della dash cam HDC400 e della sua app sia adeguata alla natura dei dati che contiene.’

Riteniamo che le informazioni conservate su una dash cam, incluso dove vivi, dove guidi e tutte le informazioni che possono essere raccolte da tali dati, siano dati sensibili. Al momento non esiste uno standard legale per la sicurezza, ma ciò non significa che i marchi non debbano puntare costantemente a password complesse che non siano semplici da decifrare.

Stiamo ancora aspettando notizie da Kitvision, MiVue, Road Angel, Transcend e Viofo.

Problema di sicurezza: dati debolmente crittografati sulla dash cam

Ogni volta che i dati vengono archiviati su un dispositivo, dovrebbero essere crittografati per assicurarsi che solo l’utente possa accedervi. Se i dati non sono crittografati, chiunque acceda a un dispositivo in modo nefasto può setacciare i tuoi dati con la stessa facilità con cui sfogliare una rivista.

La crittografia codifica efficacemente quei dati e li decodifica solo quando vi si accede nel modo corretto, di solito dall’utente che inserisce una password.

Certo, è un po’ più complicato di così in quanto esistono numerosi tipi di crittografia. Questo perché non appena gli esperti di sicurezza rilasciano una nuova crittografia, presumibilmente impenetrabile, gli hacker sono sul caso per dimostrare che si sbagliano. Alla fine ci riescono e gli esperti di sicurezza iniziano a creare una crittografia ancora più forte.

Alcune vecchie forme di crittografia non sono state utilizzate su un dispositivo nel 2021. Ma le dash cam che abbiamo esaminato da Garmin, Halfords e MiVue utilizzavano tutte una forma di crittografia obsoleta e debole.

Cosa significa in pratica?

Una crittografia debole significa che è più facile per un hacker trasformare qualsiasi informazione a cui accedono sulla dash cam stessa in qualcosa di utile. È come rubare un diario scritto nella tua lingua contro uno scritto in una che non capisci. I produttori dovrebbero rendere il più difficile possibile l’accesso a queste informazioni per chiunque tranne che per il proprietario.

Cosa stanno facendo i produttori al riguardo?

Abbiamo informato Garmin, Halfords e MiVue dei nostri risultati. Garmin si è impegnata a migliorare la crittografia sul suo dispositivo e prevede di aggiornare il suo software entro la fine di luglio.

Halfords non ha intenzione di migliorare la sua crittografia, perché non ritiene i dati abbastanza sensibili da giustificarlo.

MiVue non ha ancora risposto.

Problema di sicurezza: crittografia debole per i dati che passano tra la dash cam e l’app di controllo

Oltre a crittografare i dati sulla dash cam stessa, anche i dati inviati tra la dash cam e l’app di controllo devono essere crittografati. Il trasferimento dei dati utilizza un diverso tipo di crittografia rispetto a quelli utilizzati per codificare i dati sul dispositivo stesso.

BlackVue e Nextbase avevano una forte crittografia sulla dash cam stessa, quindi siamo rimasti sorpresi di vedere una mancanza di protezione per i dati durante il trasferimento. La mancanza di crittografia di trasferimento rende più facile per un hacker intercettare i dati trasmessi tra la fotocamera e l’app.

BlackVue ci ha detto che avrebbe aggiunto una crittografia migliorata per assicurarsi che i dati trasmessi dalla dash cam fossero più sicuri e Nextbase ha già risolto il problema sulle sue dash cam.

Nextbase ci ha detto: ‘In qualità di azienda britannica leader di mercato, Nextbase è molto consapevole delle sfide e dei rischi che derivano dalla tecnologia connessa. Il team di Nextbase con sede nel Regno Unito mette la sicurezza e la privacy dei clienti in prima linea in tutte le innovazioni di prodotto, creando una tecnologia intelligente di cui ci si può fidare.’

Problema di sicurezza: mancanza di protezione del server

Mentre la maggior parte delle dash cam che abbiamo testato aveva password predefinite deboli e un terzo aveva una crittografia scadente, alcuni dei problemi che abbiamo riscontrato erano unici per una dash cam: Viofo.

I server possono essere utilizzati per inviare dati, in questo caso tra una dash cam e un telefono. Se il server non è configurato correttamente, come nel caso del server di Viofo, diventa fin troppo facile accedervi. Se accedi a un server, ottieni l’accesso a tutto ciò che contiene. Nel caso delle dash cam ciò significa tutte le tue registrazioni, nonché la possibilità di modificare il funzionamento della dash cam.

Vale la pena notare che un server si riferisce solo a quella dash cam, quindi l’hacking per ottenere l’accesso a una non ti permetterebbe di guardare i dati per tutte le dash cam di Viofo.

Abbiamo contattato Viofo per informarlo del problema e chiedergli di migliorare la sicurezza del suo server, ma non abbiamo ancora ricevuto risposta.

Dovresti essere preoccupato per la sicurezza della tua dash cam?

La buona notizia è che nessuno di questi problemi è così significativo come alcuni che abbiamo visto con altri dispositivi e sarebbe comunque difficile per un hacker ottenere l’accesso ai dati, in particolare dove la password non è predefinita debole.

Poiché le dash cam non si connettono al router Wi-Fi (creano il proprio collegamento Wi-Fi diretto tra esso e un telefono), non c’è il rischio che un hacker ottenga l’accesso ai dispositivi sulla rete domestica tramite una dash cam.

E la maggior parte delle dash cam non irradia costantemente un segnale Wi-Fi. È necessario premere un pulsante sul dispositivo per avviare il segnale wi-fi o si accende quando si avvia il motore dell’auto. Il wi-fi rimarrà attivo solo per pochi minuti, quindi la finestra per l’accesso di un hacker è piccola. Inoltre, spesso avrebbero bisogno di essere molto vicini o di avere un software particolare per intercettare i dati.

Anche se la finestra per l’attacco è piccola, è pur sempre una finestra. Non ci vorrebbe molto sforzo da parte dei produttori per chiudere completamente quella finestra, e pensiamo che dovrebbero.

La sicurezza dei dati non si ferma alla tua porta di casa

I nostri risultati mostrano che la privacy e la sicurezza dei dati devono estendersi oltre la tua casa. Le dash cam e dispositivi simili potrebbero non connettersi alla rete domestica, ma questa non è una scusa per saltare i fondamenti della sicurezza Internet: crittografia avanzata, password complesse e infrastruttura sicura.

Dove viviamo, dove lavoriamo, dove i nostri figli vanno a scuola, quando siamo fuori casa e la nostra tipica routine quotidiana sono informazioni personali e dovrebbero essere protette dai dispositivi che ci fidiamo di tenere nelle nostre auto.

Siamo stati rincuorati nel vedere le risposte di Blackvue, Garmin e Nextbase, che si sono tutti impegnati a rendere i loro dispositivi il più sicuri possibile. Ma vogliamo vedere altri produttori leader di dash cam riconoscere la sensibilità dei dati su questi dispositivi e spingere per i migliori standard di crittografia e password possibili.

Il governo ha introdotto nuove leggi sulla sicurezza informatica per vietare esattamente il tipo di problemi che abbiamo riscontrato nei nostri test della dash cam, comprese le password predefinite facili da indovinare. Semplificheranno anche la segnalazione di vulnerabilità con i dispositivi e i produttori dovranno dire al punto vendita per quanto tempo supporteranno un dispositivo con aggiornamenti di sicurezza. Scopri di più su queste nuove leggi sulla sicurezza intelligente.

Le nuove leggi si concentrano su smartphone, tablet e altri dispositivi più facilmente definibili come IoT. Tuttavia, i nostri test hanno mostrato che altri dispositivi che non si adattano così facilmente all’ambito dell’IoT continuano a catturare dati personali e dovrebbero essere esaminati allo stesso modo e soggetti alle stesse leggi e normative.

Continueremo a esercitare pressioni sui produttori di tutte le dash cam interessate. Aggiorneremo questa storia con ulteriori sviluppi.