Un ricercatore Kaspersky ha analizzato i propri dispositivi domestici: troppe vulnerabilità. Manca la sicurezza e i vendor non fanno nulla

I comuni dispositivi per l’intrattenimento domestico costituiscono una reale minaccia alla sicurezza informatica a causa di vulnerabilità presenti nei loro software e della mancanza di basilari misure di sicurezza come password di amministrazione efficaci e la crittazione della connessione a internet.

David Jacoby, Security Analyst di Kaspersky Lab, ha condotto una ricerca sperimentale nel suo soggiorno per scoprire quanto fosse protetta la sua casa sotto il profilo della sicurezza informatica. Ha ispezionato i dispositivi per l’intrattenimento domestico come i NAS (Network Attached Storage), le Smart TV, il router, il lettore Blue Ray, e una stampante connessa per scoprire se fossero vulnerabili a cyber attacchi. La risposta è sì. Jacoby ha trovato 14 vulnerabilità nelle memorie connesse alla rete, una nella Smart TV e diverse potenziali funzioni di controllo da remoto nascoste nel router.

Esecuzione di codice in modalità remota e password deboli: le vulnerabilità più gravi sono state trovate nelle memorie connesse alla rete. Molte permetterebbero a un aggressore di eseguire in modalità remota comandi di sistema con i maggiori privilegi amministrativi. I dispositivi testati avevano anche deboli password di default, molti file di configurazione avevano le autorizzazioni sbagliate e contenevano password in testo in chiaro. In particolare, la password di amministrazione di default di uno dei dispositivi era costituita da una sola cifra. Un altro dispositivo, invece, condivideva con chiunque in rete l’intero file di configurazione contenente le password crittate.

Utilizzando una vulnerabilità isolata, il ricercatore è stato in grado di fare l’upload di un file in un’area della memoria di archiviazione inaccessibile per l’utente ordinario. Se questo file fosse maligno, il dispositivo compromesso diventerebbe fonte di infezione per gli altri dispositivi che si connettono a questo NAS (ad esempio un PC domestico) e persino funzionare come DDoS bot in una botnet. Inoltre, dato che la vulnerabilità ha permesso di fare l’upload del file in una parte speciale del file system del dispositivo, l’unico modo per eliminarlo è utilizzare la stessa vulnerabilità. Ovviamente, questo non è un compito semplice persino per uno tecnico specializzato, figurarsi per l’utente medio di un dispositivo per l’intrattenimento domestico.

Man-in-the-Middle via Smart TV: esaminando il livello di sicurezza della sua Smart TV, il ricercatore di Kaspersky ha scoperto che non viene utilizzata alcuna crittazione nella comunicazione tra la TV e i server del produttore della TV stessa. Ciò apre potenzialmente la strada ad attacchi Man-in-the-Middle, che, nel momento in cui l’utente cercasse di acquistare contenuti tramite la TV, potrebbero in realtà trasferire denaro si criminali. Il ricercatore ha inoltre scoperto che la Smart TV è in grado di eseguire codici scritti in Java, che, insieme alla capacità di intercettare lo scambio di traffico tra la TV e internet, potrebbero causare attacchi maligni guidati da exploit.

Funzioni di spionaggio nascoste in un router: Il router DSL, usato da tutti i dispositivi casalinghi per ottenere l’accesso wireless a internet, conteneva numerose funzionalità pericolose nascoste ai possessori. Secondo il ricercatore, alcune di queste funzioni potrebbero fornire all’ISP (Internet Service Provider) accesso da remoto a ogni dispositivo connesso alla rete privata.

Individui e aziende devono capire i rischi di sicurezza connessi ai dispositivi in rete. Dobbiamo anche tenere a mente che le nostre informazioni non sono al sicuro solo perché abbiamo una password forte e che ci sono molti fattori che non possiamo controllare. Ci sono voluti meno di 20 minuti per trovare e verificare vulnerabilità estremamente serie in un dispositivo che sembra sicuro e allude persino alla sicurezza nel suo stesso nome. Che risultati otterrebbe una simile ricerca se fosse condotta su scala più ampia? Questa è solo una delle molte domande che devono essere affrontate dai vendor, dalle comunità di sicurezza e dagli utenti nell’immediato futuro. Un’altra questione importante è il ciclo di vita dei dispositivi. Come ho appreso discutendo con i produttori, alcuni di loro non sono disposti a sviluppare una soluzione di sicurezza per un dispositivo vulnerabile nel momento in cui il suo ciclo di vita sia giunto al termine. Solitamente, questo ciclo di vita dura uno o due anni, mentre la vita reale dei dispositivi – ad esempio i NAS – è molto più lunga. Da qualunque punto di vista la si guardi, non si tratta di una