La popolarità dei dispositivi connessi continua ad aumentare, insieme alla richiesta degli smart home hub poiché rendono molto più semplice la gestione della casa, unendo tutte le impostazioni dei dispositivi in un’unica piattaforma e consentendo agli utenti di configurarle e controllarle tramite interfacce web o applicazioni mobile. Inoltre, alcune di queste soluzioni servono anche come sistema di sicurezza. Allo stesso tempo, essere degli “unificatori” rende questi dispositivi un obiettivo attraente per i criminali informatici che potrebbero utilizzarli come punto d’accesso per gli attacchi remoti. All’inizio dell’anno scorso, Kaspersky Lab ha scoperto un dispositivo per la smart home che offriva una vasta superficie di attacco agli intrusi, basata su algoritmi di generazione di password deboli e porte aperte. Durante la nuova indagine, i ricercatori hanno scoperto che una progettazione non sicura e diverse vulnerabilità nell’architettura del dispositivo smart potevano fornire ai criminali l’accesso alla casa degli utenti.
In primis, i ricercatori hanno scoperto che l’hub invia i dati dell’utente quando comunica con un server, incluse le credenziali necessarie ad accedere all’interfaccia web dello smart hub − l’ID utente e la password – oltre ad altre informazioni personali come il numero di telefono dell’utente utilizzato per gli alert. Gli autori di attacchi remoti possono scaricare l’archivio con queste informazioni inviando una richiesta legittima al server che include il numero di serie del dispositivo. L’analisi, inoltre, mostra che il numero di serie può facilmente essere scoperto dai criminali grazie ai metodi semplicistici della sua generazione.
Secondo gli esperti, i numeri seriali possono essere scoperti con metodi di forza-bruta usando la logic analysis e poi confermati attraverso una richiesta al server: se un dispositivo con quel numero seriale è registrato in un sistema cloud, i criminali riceveranno informazioni affermative. Di conseguenza, potranno accedere all’account web dell’utente e gestire le impostazioni dei sensori e dei controller collegati all’hub.
Tutte le informazioni sulle vulnerabilità rilevate sono state segnalate al fornitore e successivamente corrette.
Per garantire la sicurezza della casa “intelligente” e dell’Internet of Things, Kaspersky Lab offre la propria applicazione gratuita per la piattaforma Android, Kaspersky IoT Scanner. La soluzione esegue una scansione della rete wi-fi domestica, informando l’utente dei dispositivi ad essa collegati e del loro livello di sicurezza.
Per limitare i rischi di sicurezza informatica, Kaspersky Lab consiglia a produttori e sviluppatori di condurre sempre test di sicurezza prima che i prodotti vengano rilasciati e di seguire gli standard di sicurezza informatica dell’IoT. Recentemente Kaspersky Lab ha contribuito alla Raccomandazione ITU-T Y.4806 (International Telecommunication Union – Settore delle telecomunicazioni), creata per aiutare a mantenere un’adeguata protezione dei sistemi IoT, comprese le città smart, i dispositivi medicali indossabili e stand-alone e molti altri.