La diffusione delle smart home va di pari passo con la sicurezza, per questo i ricercatori di Kaspersky hanno analizzato i dispositivi di controllo di un ecosistema attivo di casa intelligente e hanno identificato diverse vulnerabilità critiche. Che comprendono bug nell’infrastruttura cloud e potenziali esecuzioni da remoto del codice. Le quali permetterebbero a terzi di ottenere l’accesso ai controller in qualità di amministratore e di manipolare l’infrastruttura della smart home in qualsiasi modo. I risultati delle indagini sono stati poi condivisi con il vendor Fibaro, che ha aggiornato i protocolli di sicurezza.
La ricerca di Kaspersky
Indagine sul’Internet of Things
Erano passati anni da quando è stata effettuata la prima indagine sulla sicurezza dell’IoT. E insieme a nuovi prodotti e soluzioni sono emerse nuove minacce. Un dipendente di Kaspersky ha invitato i ricercatori dell’azienda a esaminare il sistema smart implementato nella propria abitazione concedendo ai ricercatori l’accesso al controller. Uno strumento in grado di collegare e supervisionare tutte le operazioni dell’intera smart home che consentirebbe ad un criminale informatico di penetrare nell’intero ecosistema domestico. Ed effettuare qualsiasi tipo di operazione. Dallo spionaggio al furto fino al sabotaggio fisico.
La fase iniziale di raccolta delle informazioni ha portato gli esperti a identificare i vari vettori potenziali di attacco. Ovvero il protocollo di comunicazione wireless Z-Wave ampiamente utilizzato per la domotica, l’interfaccia web del pannello di amministrazione e l’infrastruttura cloud. Quest’ultima si è rivelata il vettore più efficace. L’esame dei metodi usati per elaborare le richieste del dispositivo ha rivelato una vulnerabilità nel processo di autorizzazione e la possibilità di esecuzione del codice a distanza. Combinati tra loro, questi vettori permetterebbero a terzi di accedere a tutti i backup caricati sul cloud da tutti i Fibaro home center lite. E di caricare, sempre sul cloud, backup infetti. Per poi in seguito scaricarli su uno specifico controller, pur non avendo diritti di amministrazione sul sistema.
La soluzione finale
Finalizzato l’esperimento, gli esperti di Kaspersky hanno effettuato un test di attacco sul controller. Hanno preparato uno specifico backup con uno script protetto da password e sviluppato separatamente. Successivamente, tramite cloud, hanno inviato un’email e un SMS al dispositivo del proprietario. Invitandolo ad aggiornare il firmware del controller. Come richiesto, la “vittima” ha accettato e scaricato il backup infetto. Questo ha permesso ai ricercatori di ottenere i diritti di amministratore sullo smart home controller, consentendo loro di manipolare l’ecosistema connesso. Per dimostrare il successo della loro intrusione nel sistema, i ricercatori hanno quindi modificato la suoneria della sveglia. Il giorno dopo, il dipendente di Kaspersky è stato svegliato da una musica fatta di percussioni e bassi che suonava a tutto volume.
Le raccomandazioni dei ricercatori
Detto tutto quanto sopra, gli esperti hanno elaborato una serie di raccomandazioni. Eccole.
- Valutare i rischi legati alla sicurezza qualora si decidesse di rendere una parte della propria vita più “smart”
- Fare una ricerca su internet circa le possibili vulnerabilità presenti prima di comprare un dispositivo IoT
- Oltre ai bug standard, i dispositivi recenti potrebbero avere problemi di sicurezza non ancora scoperti. La scelta migliore è quella di acquistare prodotti che hanno già sperimentato diversi aggiornamenti software. Piuttosto che i prodotti più recenti rilasciati sul mercato.
- Assicurarsi che tutti i dispositivi siano aggiornati con i protocolli di sicurezza e i firmware più recenti.
- Adottare il servizio Kaspersky Security Cloud che protegge l’account online dell’utente e la rete Wi-Fi di casa. Assicurandosi che la private network rimanga privata. Facendo questo, l’utente riceverà una notifica nel caso in cui ospiti indesiderati cerchino di connettersi. Proteggendo tutti i dispositivi IoT dell’abitazione. L’utente sarà automaticamente avvisato in caso di minacce alla sicurezza e sarà supportato da esperti che, se necessario, agiranno di conseguenza.
0 commenti