Home Portale BitMat Portale Focus On Ecosistema smart home: attenzione alle vulnerabilità

Ecosistema smart home: attenzione alle vulnerabilità

-

Tempo di lettura: 5 minuti

Durante l’analisi di dispositivi di controllo di un ecosistema smart home attivo, il team di ricerca di Kaspersky ha identificato diverse vulnerabilità critiche: da bug nell’infrastruttura cloud a potenziali esecuzioni da remoto del codice, che permetterebbero a terzi di ottenere l’accesso ai controller in qualità di amministratore e di manipolare l’infrastruttura della smart home in qualsiasi modo. I risultati delle indagini sono stati condivisi con il vendor Fibaro, che ha prontamente affrontato le criticità e aggiornato i protocolli di sicurezza.

Sono passati anni da quando è stata effettuata la prima indagine sulla sicurezza dell’IoT e la continua espansione ed evoluzione del panorama IoT ha reso sempre più importante questo tipo di ricerche. Infatti, insieme a nuovi prodotti e soluzioni emergono anche nuove minacce che mettono a repentaglio la sicurezza degli utenti. Un dipendente di Kaspersky ha invitato i ricercatori dell’azienda a esaminare il sistema smart implementato nella propria abitazione concedendo ai ricercatori l’accesso al controller della sua smart home. È stato scelto il controller perché è in grado di collegare e supervisionare tutte le operazioni dell’intera smart home e, in caso di una riuscita compromissione, consentirebbe ad un criminale informatico di penetrare nell’intero ecosistema domestico ed effettuare qualsiasi tipo di operazione, dallo spionaggio al furto fino al sabotaggio fisico.

La fase iniziale di raccolta delle informazioni ha portato gli esperti a identificare i vari vettori potenziali di attacco ovvero il protocollo di comunicazione wireless Z-Wave ampiamente utilizzato per la domotica, l’interfaccia web del pannello di amministrazione e l’infrastruttura cloud. Quest’ultima si è rivelata il vettore di attacco più efficace: l’esame dei metodi usati per elaborare le richieste del dispositivo ha rivelato una vulnerabilità nel processo di autorizzazione e la possibilità di esecuzione del codice a distanza.

Combinati tra loro, questi vettori permetterebbero a terzi di accedere a tutti i backup caricati sul cloud da tutti i Fibaro home center lite e di caricare, sempre sul cloud, backup infetti e, in seguito, di scaricarli su uno specifico controller, pur non avendo diritti di amministrazione sul sistema.

Per finalizzare l’esperimento, gli esperti di Kaspersky hanno effettuato un test di attacco sul controller. Per farlo, hanno preparato uno specifico backup con uno script protetto da password e sviluppato separatamente. Successivamente, tramite cloud, hanno inviato un’email e un SMS al dispositivo del proprietario, invitandolo ad aggiornare il firmware del controller. Come richiesto, la “vittima” ha accettato e scaricato il backup infetto. Questo ha permesso ai ricercatori di ottenere i diritti di amministratore sullo smart home controller, consentendo loro di manipolare l’ecosistema connesso. Per dimostrare il successo della loro intrusione nel sistema, i ricercatori hanno modificato la suoneria della sveglia. Il giorno dopo, il dipendente di Kaspersky è stato svegliato da una musica fatta di percussioni e bassi che suonava a tutto volume.

“Un vero criminale con accesso all’home center non si limiterebbe, come abbiamo fatto noi, a manomettere la sveglia. Uno dei compiti principali del dispositivo che abbiamo preso in esame è l’integrazione di tutte le “smart things”, si tratta di un task che consente al proprietario dell’abitazione di poterle gestire da un singolo home center. Un dettaglio che vale la pena sottolineare è che la nostra indagine ha utilizzato come target un sistema realmente implementato mentre in altre occasioni la maggior parte delle ricerche è stata condotta in laboratorio. La ricerca ha dimostrato che, nonostante una sempre maggiore consapevolezza riguardo la sicurezza dell’IoT, ci sono ancora delle criticità da affrontare. Ancora più importante, i dispositivi che abbiamo analizzato sono prodotti di massa impiegati all’interno di reti smart home funzionanti. Vogliamo ringraziare Fibaro per il suo atteggiamento responsabile sulla questione e per l’attenzione posta alla sicurezza informatica e li ringraziamo, inoltre, per aver reso la casa del nostro collega molto più sicura di quanto non lo fosse prima della ricerca”, dichiara Pavel Cheremushkin, Security Researcher di Kaspersky ICS CERT.

“L’infrastruttura IoT richiede un sistema complesso che lavori senza intoppi su molteplici livelli. Ciò implica notevoli lavori di implementazione e a livello di architettura. Apprezziamo molto le ricerche e gli sforzi compiuti da Kaspersky. L’azienda ci ha aiutato a lavorare sulla sicurezza dei nostri prodotti e servizi. Insieme, abbiamo eliminato le potenziali vulnerabilità. Raccomandiamo caldamente agli utenti di FIBARO di installare gli aggiornamenti e di controllare sempre che le email siano coerenti con gli annunci del sito web FIBARO. Gli aggiornamenti accrescono le funzionalità del sistema e al contempo rendono più difficile per un hacker il furto di dati personali”, aggiunge Krzysztof Banasiak, CPO di FIBARO.

Per la sicurezza dei dispositivi i ricercatori di Kaspersky raccomandano di:

  • Valutare i rischi legati alla sicurezza qualora si decidesse di rendere una parte della propria vita più “smart”
  • Fare una ricerca su internet circa le possibili vulnerabilità presenti prima di comprare un dispositivo IoT
  • Oltre ai bug standard che si trovano nei nuovi prodotti, i dispositivi lanciati di recente potrebbero avere problemi di sicurezza che non sono stati ancora scoperti dai ricercatori. Con questa premessa, la scelta migliore è quella di acquistare prodotti che hanno già sperimentato diversi aggiornamenti software piuttosto che i prodotti più recenti rilasciati sul mercato.
  • Assicurarsi che tutti i dispositivi siano aggiornati con i protocolli di sicurezza e i firmware più recenti.
  • Adottare il servizio Kaspersky Security Cloud che protegge l’account online dell’utente e la rete Wi-Fi di casa, assicurandosi che la private network rimanga privata: facendo questo, l’utente riceverà una notifica nel caso in cui ospiti indesiderati cerchino di connettersi proteggendo tutti i dispositivi IoT dell’abitazione. L’utente sarà automaticamente avvisato in caso di minacce alla sicurezza e sarà supportato da esperti che, se necessario, agiranno di conseguenza.
Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Formazione: 5 passi per costruire le competenze cloud

    Adozione del cloud e formazione: 5 passi per costruire le competenze

    Investire in un programma di formazione completo all'inizio del percorso incrementa la velocità di adozione
    tecnologia

    Investimenti e tecnologia: dal trading online alle criptovalute

    Ecco una serei di consigli su dove è meglio investire in tecnologia
    Pandemia e consumo: come cambiano le abitudini di spesa?

    Pandemia e consumo: come cambiano le abitudini di spesa?

    Il 64% degli italiani si concentra su articoli essenziali come alimenti e dispositivi di protezione
    CDP Venture Capital e Digital Magics insieme per l'innovazione

    CDP Venture Capital e Digital Magics insieme per l’innovazione

    Le due realtà partecipano a un round di investimento per oltre 3,5 milioni di euro a favore di 6 startup innovative italiane
    eGovernment Benchmark: migliorano i servizi pubblici digitali

    eGovernment Benchmark: migliorano i servizi pubblici digitali

    La pandemia ha mostrato l'importanza di servizi incentrati sull’utente, trasparenti e senza soluzione di continuità