In occasione del Mobile World Congress sono state svelate alcune vulnerabilità scoperte in uno smart hub utilizzato per gestire tutti i dispositivi e i sensori connessi installati in casa. L’analisi, condotta da Kaspersky Lab, rivela come per un cyber criminale sia possibile accedere da remoto al server del prodotto e scaricare un archivio contenente i dati personali di utenti casuali, necessari per accedere ai loro account, per poi ottenere il controllo dei loro sistemi domestici.
La popolarità dei dispositivi connessi continua ad aumentare, insieme alla richiesta degli smart home hub, poiché rendono molto più semplice la gestione domestica, unendo tutte le impostazioni dei dispositivi in un’unica piattaforma e consentendo agli utenti di configurarle e controllarle tramite interfacce web o applicazioni mobile. Alcune di queste soluzioni servono anche come sistema di sicurezza; allo stesso tempo, tuttavia, questi dispositivi sono un obiettivo attraente per i criminali informatici, che potrebbero utilizzarli come punto d’accesso per gli attacchi remoti. All’inizio dell’anno scorso, è stato scoperto un dispositivo per la smart home che offriva una vasta superficie di attacco agli intrusi, basata su algoritmi di generazione di password deboli e porte aperte. Una progettazione non sicura e diverse vulnerabilità nell’architettura del dispositivo smart potevano fornire ai criminali l’accesso alla casa degli utenti.
In primo luogo, l’hub invia i dati dell’utente quando comunica con un server, incluse le credenziali necessarie ad accedere all’interfaccia web dello smart hub – ID utente e password – oltre ad altre informazioni personali come il numero di telefono dell’utente utilizzato per gli alert. Gli autori di attacchi remoti possono scaricare l’archivio con queste informazioni inviando una richiesta legittima al server, che include il numero di serie del dispositivo. Inoltre, il numero di serie può facilmente essere scoperto dai criminali grazie ai metodi semplicistici della sua generazione.
Secondo gli esperti, i numeri seriali possono essere scoperti con metodi di forza-bruta usando la logic analysis, e poi confermati attraverso una richiesta al server: se un dispositivo con quel numero seriale è registrato in un sistema cloud, i criminali riceveranno informazioni affermative. Di conseguenza, potranno accedere all’account web dell’utente e gestire le impostazioni dei sensori e dei controller collegati all’hub.
Tutte le informazioni sulle vulnerabilità rilevate sono state segnalate al fornitore e successivamente corrette.
“Sebbene i dispositivi IoT siano stati il focus dei ricercatori della cyber sicurezza negli ultimi anni, si stanno dimostrando ancora insicuri. Abbiamo scelto in modo casuale uno smart home hub e il fatto che l’abbiamo trovato vulnerabile non è un’eccezione ma un’ulteriore conferma dei continui problemi di sicurezza nel mondo IoT. Sembra che, letteralmente, ogni dispositivo IoT − anche il più semplice − contenga almeno un problema di sicurezza. Ad esempio, abbiamo recentemente analizzato una lampadina intelligente. Potreste chiedervi cosa potrebbe andare storto con una lampadina che permette di cambiare solo il colore della luce e alcuni altri parametri di illuminazione tramite lo smartphone. Bene, abbiamo scoperto che tutte le credenziali delle reti wi-fi, cioè i nomi e le password, a cui la lampadina si era precedentemente collegata venivano archiviate nella sua memoria senza crittografia. In altre parole, la situazione attuale nella sfera della sicurezza IoT è che anche la vostra lampadina potrebbe mettervi in pericolo”, ha affermato Vladimir Dashchenko, Head of Vulnerabilities Research Group dell’ICS CERT di Kaspersky Lab.
Per rimanere al sicuro, è necessario usare sempre una password complessa – senza dimenticare di cambiarla regolarmente – e aumentare la propria consapevolezza dei pericoli per la sicurezza controllando le ultime informazioni, di solito disponibili online, sulle vulnerabilità scoperte e corrette dei dispositivi smart.
