Gli esperti di F-Secure Consulting, la nuova unità di consulenza sulla cyber security di F-Secure, hanno scoperto un difetto di progettazione in una serratura intelligente (serrature smart lock) che gli attaccanti possono utilizzare per impadronirsi facilmente del dispositivo. L’incapacità dello smart lock di ricevere aggiornamenti del firmware fa sì che il difetto non possa essere completamente risolto, e mette in evidenza le difficoltà che produttori e consumatori affrontano nel proteggere i nuovi dispositivi connessi a Internet che stanno invadendo il mercato.
KeyWe Smart Lock, un dispositivo di accesso a controllo remoto utilizzato principalmente in abitazioni private, consente agli utenti di aprire e chiudere le porte con un’app sul proprio smartphone. F-Secure Consulting ha scoperto di poter sfruttare i protocolli di comunicazione progettati in modo errato arrivando a intercettare la passphrase segreta che controlla il dispositivo di accesso mentre viene scambiata tra il dispositivo fisico e l’app mobile.
“Le serrature smart lock ha diversi meccanismi di protezione. Sfortunatamente, il suo design rende piuttosto semplice per gli attaccanti bypassare questi meccanismi per intercettare i messaggi scambiati tra lo smart lock e l’app, lasciandolo aperto a un attacco relativamente semplice. Non c’è modo di mitigare questo difetto, quindi accedere alle case protette dallo smart lock è una scommessa già vinta per i ladri in grado di replicare questo attacco“, afferma Krzysztof Marciniak di F-Secure Consulting, un consulente di sicurezza informatica che ha contribuito a sviluppare questo attacco. “Tutto ciò che serve agli attaccanti è un po’ di know-how, un dispositivo per catturare il traffico – che può essere acquistato in molti negozi di elettronica di consumo a partire da 10 dollari – e un po’ di tempo per trovare i proprietari di queste serrature intelligenti“.
L’attacco è un’altra dimostrazione delle sfide alla sicurezza che i produttori e i consumatori devono affrontare quando i dispositivi Internet of Things (IoT) invadono il mercato. Una stima recente prevede che ci saranno 125 miliardi di dispositivi connessi a Internet entro il 2025*. Ma man mano che questi dispositivi IoT si diffondono, lo stesso faranno anche i problemi di sicurezza che si portano dietro.
Lo smart lock ha diverse funzioni di sicurezza utili, tra cui la crittografia dei dati che serve a impedire a parti non autorizzate di accedere a informazioni critiche sul sistema, come appunto la passphrase segreta. Tuttavia, F-Secure Consulting ha trovato modi relativamente semplici per aggirare le misure di sicurezza del sistema. E poiché il dispositivo non può ricevere gli aggiornamenti del firmware, il difetto sfruttato dall’attacco non può essere riparato, il che significa che i proprietari dello smart lock dovranno sostituire questa serratura intelligente o convivere con questo rischio.
Marciniak sottolinea che la sicurezza è efficace solo se implementata correttamente, il che è una considerazione che i venditori di dispositivi IoT dovrebbero tenere presente.
“La sicurezza non ha una ‘taglia unica’. Deve essere personalizzata per tenere conto dell’utente, dell’ambiente, del modello di minaccia e molto altro ancora. Fare questo non è facile, ma se i venditori di dispositivi IoT immetteranno sul mercato prodotti che non possono ricevere aggiornamenti, allora è importante costruirli e progettarli affinché siano sicuri fin dall’inizio“, spiega Marciniak.
Marciniak raccomanda alle persone di considerare le implicazioni di sicurezza della connettività Internet prima di sostituire i propri dispositivi offline con le versioni online e raccomanda ai venditori di dispositivi di eseguire valutazioni di sicurezza già in fase di progettazione dei loro prodotti.
F-Secure Consulting opera in quattro continenti in 11 Paesi diversi. Fornisce servizi di sicurezza informatica su misura per soddisfare le esigenze di banche, servizi finanziari, aviazione, logistica, vendita al dettaglio, assicurazioni e altre organizzazioni che lavorano in settori altamente mirati.
Data la facilità dell’attacco e la mancanza di soluzioni di mitigazione da poter proporre agli utenti finali, F-Secure Consulting ha scelto di trattenere parti cruciali dei dettagli tecnici necessari per eseguire l’attacco. Tuttavia, su F-Secure Labs sono stati pubblicati un “advisory” e un blog post con maggiori informazioni.
Supporto e servizi aggiuntivi per i produttori di dispositivi sono disponibili presso F-Secure Consulting.
*Fonte: https://www.techradar.com/news/rise-of-the-internet-of-things-iot
