Mobile World Congress: Kaspersky Lab svela le vulnerabilità scoperte in uno smart home hub

In occasione del Mobile World Congress i ricercatori di Kaspersky Lab hanno annunciato la scoperta di alcune vulnerabilità in uno smart hub utilizzato per gestire tutti i dispositivi e i sensori connessi installati in casa. L’analisi rivela come per un cyber criminale sia possibile accedere da remoto al server del prodotto e scaricare un archivio contenente i dati personali di utenti casuali, necessari per accedere ai loro account, per poi ottenere il controllo dei loro sistemi domestici.

La popolarità dei dispositivi connessi continua ad aumentare, insieme alla richiesta degli smart home hub poiché rendono molto più semplice la gestione della casa, unendo tutte le impostazioni dei dispositivi in ​​un’unica piattaforma e consentendo agli utenti di configurarle e controllarle tramite interfacce web o applicazioni mobile. Inoltre, alcune di queste soluzioni servono anche come sistema di sicurezza. Allo stesso tempo, essere degli “unificatori” rende questi dispositivi un obiettivo attraente per i criminali informatici che potrebbero utilizzarli come punto d’accesso per gli attacchi remoti. All’inizio dell’anno scorso, Kaspersky Lab ha scoperto un dispositivo per la smart home che offriva una vasta superficie di attacco agli intrusi, basata su algoritmi di generazione di password deboli e porte aperte. Durante la nuova indagine, i ricercatori hanno scoperto che una progettazione non sicura e diverse vulnerabilità nell’architettura del dispositivo smart potevano fornire ai criminali l’accesso alla casa degli utenti.

In primis, i ricercatori hanno scoperto che l’hub invia i dati dell’utente quando comunica con un server, incluse le credenziali necessarie ad accedere all’interfaccia web dello smart hub − l’ID utente e la password – oltre ad altre informazioni personali come il numero di telefono dell’utente utilizzato per gli alert. Gli autori di attacchi remoti possono scaricare l’archivio con queste informazioni inviando una richiesta legittima al server che include il numero di serie del dispositivo. L’analisi, inoltre, mostra che il numero di serie può facilmente essere scoperto dai criminali grazie ai metodi semplicistici della sua generazione.

Secondo gli esperti, i numeri seriali possono essere scoperti con metodi di forza-bruta usando la logic analysis e poi confermati attraverso una richiesta al server: se un dispositivo con quel numero seriale è registrato in un sistema cloud, i criminali riceveranno informazioni affermative. Di conseguenza, potranno accedere all’account web dell’utente e gestire le impostazioni dei sensori e dei controller collegati all’hub.

Tutte le informazioni sulle vulnerabilità rilevate sono state segnalate al fornitore e successivamente corrette.

“Sebbene i dispositivi IoT siano stati il focus dei ricercatori della cyber sicurezza negli ultimi anni, si stanno dimostrando ancora insicuri. Abbiamo scelto in modo casuale uno smart home hub e il fatto che l’abbiamo trovato vulnerabile non è un’eccezione ma un’ulteriore conferma dei continui problemi di sicurezza nel mondo IoT. Sembra che, letteralmente, ogni dispositivo IoT − anche il più semplice − contenga almeno un problema di sicurezza. Ad esempio, abbiamo recentemente analizzato una lampadina intelligente. Potreste chiedervi cosa potrebbe andare storto con una lampadina che permette di cambiare solo il colore della luce e alcuni altri parametri di illuminazione tramite lo smartphone. Bene, abbiamo scoperto che tutte le credenziali delle reti wi-fi, cioè i nomi e le password, a cui la lampadina si era precedentemente collegata venivano archiviate nella sua memoria senza crittografia. In altre parole, la situazione attuale nella sfera della sicurezza IoT è che anche la vostra lampadina potrebbe mettervi in pericolo”, ha affermato Vladimir Dashchenko, Head of Vulnerabilities Research Group dell’ICS CERT di Kaspersky Lab.

“È molto importante per i produttori garantire un’adeguata protezione ai propri utenti e prestare molta attenzione ai requisiti di sicurezza durante lo sviluppo e il rilascio dei prodotti, perché anche piccoli dettagli di un design non sicuro possono portare a conseguenze pericolose” ha concluso Dashchenko.

Per rimanere al sicuro, Kaspersky Lab consiglia agli utenti di fare quanto segue:

• Usare sempre una password complessa e non dimenticare di cambiarla regolarmente;
• Aumentare la propria consapevolezza dei pericoli per la sicurezza controllando le ultime informazioni, di solito disponibili online, sulle vulnerabilità scoperte e corrette dei dispositivi smart.

Per garantire la sicurezza della casa “intelligente” e dell’Internet of Things, Kaspersky Lab offre la propria applicazione gratuita per la piattaforma Android, Kaspersky IoT Scanner. La soluzione esegue una scansione della rete wi-fi domestica, informando l’utente dei dispositivi ad essa collegati e del loro livello di sicurezza.

Per limitare i rischi di sicurezza informatica, Kaspersky Lab consiglia a produttori e sviluppatori di condurre sempre test di sicurezza prima che i prodotti vengano rilasciati e di seguire gli standard di sicurezza informatica dell’IoT. Recentemente Kaspersky Lab ha contribuito alla Raccomandazione ITU-T Y.4806 (International Telecommunication Union – Settore delle telecomunicazioni), creata per aiutare a mantenere un’adeguata protezione dei sistemi IoT, comprese le città smart, i dispositivi medicali indossabili e stand-alone e molti altri.

Ulteriori informazioni su questa ricerca sono disponibili su Securelist.com.