Tecnologia

Kaspersky scopre pericolose falle in un sistema per la domotica

Gli specialisti in sicurezza di Kaspersky hanno analizzato un impianto di domotica realmente esistente e hanno scoperto rilevanti problemi per la sicurezza. Ecco i consigli di base per avere una casa smart confortevole ma sicura.

I dispositivi per la smart home sono in forte crescita, ma oltre alle comodità che offrono portano con sé anche possibili insidie per la sicurezza. Consapevoli dei rischi, gli esperti dell’azienda di sicurezza di Kaspersky hanno analizzato diversi dispositivi di controllo di un ecosistema di smart home attivo, e identificato diverse vulnerabilità critiche. Si tratta più che altro di falle nell’infrastruttura cloud. Se fossero sfruttate permetterebbero l’esecuzione di codice da remoto, tramite il quale un hacker potrebbe ottenere l’accesso al sistema in qualità di amministratore, e manipolare a piacimento l’intera infrastruttura della smart home.

La scoperta è avvenuta grazie all’idea di un dipendente di Kaspersky, che dopo avere installato un sistema integrato di domotica nella propria abitazione, ha invitato i colleghi a esaminare il sistema smart, concedendo loro l’accesso ai sistemi di controllo. La fase iniziale di raccolta delle informazioni ha portato gli esperti a identificare come possibili punti deboli il protocollo di comunicazione wireless Z-Wave, che è ampiamente utilizzato per la domotica, l’interfaccia web del pannello di amministrazione e l’infrastruttura cloud. Quest’ultima si è rivelata il tallone d’Achille del sistema: l’esame dei metodi usati per elaborare le richieste del dispositivo ha rivelato una vulnerabilità nel processo di autorizzazione e la possibilità di esecuzione del codice a distanza.

Per verificare il problema, gli esperti di Kaspersky hanno inviato una mail e un SMS al dispositivo del proprietario, invitandolo ad aggiornare il firmware del controller. Come richiesto, la “vittima” ha accettato e scaricato una copia di backup infetta preparata appositamente dagli esperti. Questo ha permesso ai ricercatori di ottenere i diritti di amministratore sullo smart home controller, consentendo loro di manipolare l’ecosistema connesso. Per dimostrare il successo della loro intrusione nel sistema, i ricercatori hanno modificato la suoneria della sveglia. Il giorno dopo, il dipendente di Kaspersky è stato svegliato da una musica fatta di percussioni e bassi che suonava a tutto volume. Un dettaglio che vale la pena sottolineare è che il test ha utilizzato come target un sistema realmente implementato.

Dato che l’azienda produttrice del sistema domotico è Fibaro, una delle maggiori del settore, i ricercatori hanno condiviso con il produttore i risultati dell’indagine. L’azienda ha affrontato le criticità e aggiornato i protocolli di sicurezza affinché non si verificassero più i problemi sopra descritti.

Quello descritto può sembrare un caso limite, invece è solo uno dei tanti esempi dei rischi legati all’Internet degli Oggetti (IoT). Nonostante una sempre maggiore consapevolezza riguardo ai problemi di sicurezza dell’IoT, ci sono ancora criticità da affrontare, come dimostra il fatto che i dispositivi analizzati sono prodotti di massa impiegati all’interno di reti smart home funzionanti. Purtroppo la continua espansione ed evoluzione di questo settore ha inevitabilmente attirato l’attenzione degli hacker. Per questo è importante svolgere indagini e test su ciascun sistema per mettere in luce le vulnerabilità e rimediare, prima che un pirata informatico ne approfitti.

Per la sicurezza dei dispositivi, i ricercatori di Kaspersky raccomandano di valutare i rischi legati alla sicurezza qualora si decidesse di rendere una parte della propria vita più “smart”, di effettuare ricerche su Internet circa le possibili vulnerabilità prima di comprare un dispositivo IoT. È inoltre da tenere presente che oltre ai bug più diffusi, i dispositivi appena annunciati potrebbero avere problemi di sicurezza che non sono stati ancora scoperti. Meglio quindi acquistare prodotti che sono già stati soggetti a diversi aggiornamenti software per la sicurezza. Non ultimo, è bene assicurarsi che tutti i dispositivi siano aggiornati con i protocolli di sicurezza e i firmware più recenti.