Skip to content

Piero Bosio Social Web Site Personale Logo Fediverso

Social Forum federato con il resto del mondo. Non contano le istanze, contano le persone
  1. Home
  2. Categories
  3. Uncategorized
  4. La mangiatoia del gatto ti sta spiando?

La mangiatoia del gatto ti sta spiando?

Uncategorized
1 1 0
  • cybersecurity@poliverso.orgundefined

    La mangiatoia del gatto ti sta spiando? I bug di sicurezza vanno oltre le semplici CAM

    È stata scoperta una serie di vulnerabilità nel popolare ecosistema di distributori automatici di cibo per animali domestici Petlibro. Nel peggiore dei casi, queste vulnerabilità consentivano a un aggressore di accedere all’account di qualcun altro, accedere ai dati degli animali domestici e controllare i dispositivi collegati, modificando persino i programmi di alimentazione e il funzionamento della videocamera.

    Il ricercatore che ha pubblicato l’analisi afferma che l’azienda ha rapidamente risolto alcuni dei problemi, ma la falla principale nel meccanismo di accesso all’account di terze parti è rimasta attiva per oltre due mesi “per motivi di compatibilità” ed è stata disattivata solo dopo la pubblicazione.

    Secondo l’autore, l’indagine è iniziata con un’analisi dell’app mobile Petlibro, utilizzata dai proprietari di mangiatoie, abbeveratoi e altri dispositivi IoT intelligenti per animali domestici. Tali dispositivi vengono spesso installati in casa e utilizzati da remoto, ad esempio per dare da mangiare a un gatto o a un cane durante i viaggi.

    Ecco perché eventuali errori nei controlli di autorizzazione e accesso sono particolarmente sensibili in questo caso: non stiamo parlando solo di dati, ma del controllo effettivo sul dispositivo e sulla vita della persona.

    Il ricercatore cita come principale scoperta un bypass dell’autenticazione in uno degli scenari di accesso “social”. Il problema, descrive, era che il server non verificava la validità del token OAuth , ma si fidava dei dati inviati dal client.

    Di conseguenza, conoscendo gli identificatori pubblici, era possibile ottenere una sessione di lavoro per il profilo di qualcun altro. L’azienda afferma di aver aggiunto un nuovo meccanismo più sicuro, ma ha mantenuto il vecchio e vulnerabile percorso per la “compatibilità legacy“, in attesa che la maggior parte degli utenti aggiornasse l’app.

    L’autore spiega poi che la catena si è evoluta verso la privacy e il controllo dell’hardware. L’ API , descrive, conteneva metodi che restituivano i dati dell’animale tramite ID senza verificare che la richiesta fosse stata effettuata dal proprietario. Ciò consentiva di ottenere il profilo dell’animale: nome, data di nascita, peso, parametri di attività e appetito, foto e associazione con il proprietario. Utilizzando questi stessi dati, sostiene il ricercatore, si poteva accedere alle informazioni del dispositivo (inclusi gli identificatori tecnici) e quindi eseguire azioni disponibili al proprietario: modificare le impostazioni, avviare manualmente l’alimentazione, gestire le pianificazioni e, per i modelli dotati di telecamera, accedere al flusso video.

    L’autore sottolinea anche il rischio di fuga di dati personali: alcuni dispositivi consentono di registrare messaggi vocali che vengono riprodotti a un animale domestico durante l’alimentazione. A suo avviso, gli identificatori di tali registrazioni erano prevedibili e l’associazione della registrazione al dispositivo non era sufficientemente sicura, consentendo l’accesso ai file audio di altre persone.

    Un altro scenario che descrive è la possibilità di aggiungersi come “proprietario condiviso” del dispositivo di qualcun altro attraverso un metodo di condivisione non sicuro.

    La storia riguardava anche un conflitto sulle “regole del gioco” per il ricercatore. Secondo la cronologia dell’autore, egli ha segnalato i problemi il 5 novembre 2025, ha ricevuto conferma di accettazione e un’offerta di ricompensa di 500 dollari, dopodiché l’azienda, dopo avergli fornito le informazioni di pagamento, gli ha inviato una lettera di riservatezza e gli ha ripetutamente chiesto di firmarla. Il ricercatore sostiene di non aver accettato in anticipo l’accordo di riservatezza e di essersi rifiutato di firmarlo, sottolineando che l’approccio unilaterale “loro hanno inviato i soldi, quindi ho accettato” non funziona.

    Al 4 dicembre, Petlibro ha riferito che “la maggior parte” delle vulnerabilità era stata risolta e che il bypass delle autorizzazioni era stato “corretto nell’ultima versione dell’app“, ma la l’App “obsoleta” vulnerabile ha continuato a funzionare per diverse settimane.

    Per gli utenti, la conclusione è semplice: se si utilizza Petlibro (o qualsiasi dispositivo IoT simile), è necessario aggiornare l’app e il firmware alle versioni più recenti e prestare maggiore attenzione all’accesso tramite social network e all’accesso condiviso ai dispositivi. Per i produttori, il caso ricorda ancora una volta che la “compatibilità” non dovrebbe essere una scusa per mantenere funzionalità pericolose quando si tratta di autorizzazione e controllo remoto dei dispositivi domestici.

    L'articolo La mangiatoia del gatto ti sta spiando? I bug di sicurezza vanno oltre le semplici CAM proviene da Red Hot Cyber.

    0
Log in to reply

Feed RSS
La mangiatoia del gatto ti sta spiando?

Gli ultimi otto messaggi ricevuti dalla Federazione
@pierobosio@soc.bosio.info
Post suggeriti
  • stranobiovolta@mastodon.unoundefined

    Matt Berninger - Get Sunk (2025) - #3/24

    Uncategorized lamusicacisalva discodelgiorno unodisco spettacoli
    1
    0 Votes
    1 Posts
    0 Views
    stranobiovolta@mastodon.unoundefined
    Matt Berninger - Get Sunk (2025) - #3/24Pur essendo frutto di una stringente necessità di Matt Berninger e di un suo travagliato momento personale, Get Sunk è un disco dei National senza i National. A differenza di Serpentine Prison dove la differenza era molto più accentuata, il nuovo e secondo episodio solista di Matt Berninger riporta da vicino all’esperienza dei National.Ascolta il disco: https://album.link/s/7a2Z3UzPx9HHbRgsJbytdz#LaMusicaCiSalva #DiscoDelGiorno #UnoDisco #Spettacoli
  • simontatham@hachyderm.ioundefined

    In programming, we have a nice pair of opposed acronyms:

    Uncategorized
    1
    0 Votes
    1 Posts
    0 Views
    simontatham@hachyderm.ioundefined
    In programming, we have a nice pair of opposed acronyms:• DRY for "Don't Repeat Yourself"• WET for its opposite, "Write Everything Twice" (or "We Enjoy Typing")But there's an intermediate position. The benefit of DRY, other than brevity, is that if a thing is specified just once, the specifications can't get out of sync with each other. If you can't manage that, the next best thing is to make sure the compiler or test suite _checks_ that they're in sync. You have to do more typing than you'd like, but at least you've removed the risk of an accident, which is the _most_ important thing.(For example, in Rust, if you add a new branch to an enum and forget to update one of its match statements, the compiler complains about the one you missed.)I feel as if there ought to be a nice intermediate acronym for that state of affairs, so you can say "Weeell, it's not as DRY as I'd like, but at least it's only MOIST." Or DAMP, or HUMID or something."Match Or Interpreter Spots Trouble"?"Disallow Almost-Matching Programs"?"Holler Unless Many Instances Dovetail"?Not sure about any of those. The last one in particular seems especially "you resorted to a thesaurus, didn't you?".
  • giuliocavalli@mastodon.unoundefined

    Oggi a URTO - Politica, storie e altre collisioni

    Uncategorized
    2
    2
    0 Votes
    2 Posts
    1 Views
    otttoz@mastodon.unoundefined
    @giuliocavalli meloni cresce nei sondaggi da lei pagati ma cresce il disgusto verso il suo sgoverno del carovita!L'opposizione unita la può cacciare non certo chi la divide anche perché l'estrema destra vota meloni mentre ogni formazione di estrema sinistra va da sola...a perdere!
  • dani71@mastodon.unoundefined

    This post did not contain any content.

    Uncategorized
    4
    1
    0 Votes
    4 Posts
    0 Views
    dani71@mastodon.unoundefined
    @Otttoz ottimo senso dell'umorismo 😊