L'indagine

Smart home e IoT domestica, dati personali maltrattati e a rischio phisher

di |

Quando i nostri elettrodomestici e device di casa sono connessi in rete e il livello di protezione è troppo basso: a rischio ID utente, password, numero di serie dei device e la sicurezza stessa dell’abitazione.

Case digitali, case iperconnesse e case smart, il nostro ambiente domestico è stato investito a pieno dalla trasformazione digitale in atto e soprattutto è il luogo ideale per l’impiego di soluzioni per l’Internet of Things (IoT).

In Europa le smart home, come è definita l’abitazione high tech dove ogni elettrodomestico, gadget e device elettronico è connesso in rete e gestibile da remoto tramite mobile app, sono approssimativamente più di 5 milioni, ma nel 2020 potrebbero raggiungere il numero di 45 milioni di unità, cioè il 20% di tutte le case del vecchio continente.

Sempre più spesso si tende a unificare tutte le impostazioni dei dispositivi in un’unica piattaforma per consentire agli utenti di configurarle e controllarle tramite interfacce web o appunto applicazione mobile. Un punto di accesso semplificato, che sicuramente sarà apprezzato dagli utilizzatori in casa, ma che allo stesso tempo renderà felici anche i cyber criminali.

All’inizio dell’anno scorso, i ricercatori Kaspersky Lab hanno scoperto un dispositivo per la smart home che offriva una vasta superficie di attacco agli intrusi, basato su algoritmi di generazione di password deboli e porte aperte.

In una nuova indagine, è stato poi scoperto che sia la progettazione non sicura, sia le diverse vulnerabilità nell’architettura del dispositivo smart home, possono fornire ai criminali l’accesso alla casa degli utenti.

Le scoperte fatte suggeriscono diverse criticità da affrontare:

  • l’hub invia i dati dell’utente quando comunica con un server, incluse le credenziali necessarie ad accedere all’interfaccia web dello smart hub l’ID utente e la password – oltre ad altre informazioni personali come il numero di telefono dell’utente utilizzato per gli alert;
  • gli autori di attacchi remoti possono scaricare l’archivio con queste informazioni inviando una richiesta legittima al server che include il numero di serie del dispositivo;
  • il numero di serie può facilmente essere scoperto dai criminali grazie ai metodi semplicistici della sua generazione.

In un commento allo studio, Vladimir Dashchenko, Head of Vulnerabilities Research Group dell’ICS CERT di Kaspersky Lab, ha affermato: “Abbiamo scelto in modo casuale uno smart home hub e il fatto che l’abbiamo trovato vulnerabile non è un’eccezione ma un’ulteriore conferma dei continui problemi di sicurezza nel mondo IoT”.

A detta dei ricercatori, sembra che, letteralmente, “ogni dispositivo IoT contenga almeno un problema di sicurezza”.

Dashchenko ha quindi illustrato un caso specifico, tipico di una smart home base: “abbiamo recentemente analizzato una lampadina intelligente. Potreste chiedervi cosa potrebbe andare storto con una lampadina che permette di cambiare solo il colore della luce e alcuni altri parametri di illuminazione tramite lo smartphone. Bene, abbiamo scoperto che tutte le credenziali delle reti WiFi, cioè i nomi e le password, a cui la lampadina si era precedentemente collegata venivano archiviate nella sua memoria senza crittografia. In altre parole, la situazione attuale nella sfera della sicurezza IoT è che anche la vostra lampadina potrebbe mettervi in pericolo”.