Sex toy, vulnerabilità wireless

I giocattoli "per adulti" prestano il fianco ad alcuni problemi "sistemici" a causa di un design che tiene in pochissimo conto la sicurezza, denunciano i ricercatori. Occorre riprogettarli anche considerando gli standard futuri

Roma – La nuova minaccia informatica arriva dai sex toy interconnessi, vale a dire quella particolare categoria di dispositivi per adulti progettati per offrire funzionalità avanzate tramite il collegamento a Internet, smartphone o router domestici. Una caratteristica che, stando alle analisi di PenTestPartners (PTP), apre la porta – anzi la backdoor – a possibilità di attacco a dir poco preoccupanti.

All’origine dei problemi identificati da PTP c’è lo standard Bluetooth LE (BLE), una tecnologia di collegamento wireless a basso consumo le cui implementazioni lasciano spesso a desiderare in quanto a sicurezza. Le svariate linee di “smart toy” prese di mira dai ricercatori ( butt plug e vibratori Lovense, Fleshlight Kiiroo ecc.) sono caratterizzati più o meno dalle stesse falle derivanti da questa scarsa considerazione delle buone pratiche di opsec .

Il procedimento di pairing tra i sex toy e lo smartphone dell’utente, tanto per cominciare, non prevede l’uso di alcuna interfaccia specifica per l’inserimento di PIN o password di protezione (che sarebbe tra l’altro difficile da integrare su un butt plug o un vibratore).

Non bastasse questo, buona parte dei sex toy analizzati da PTP usa la stessa sigla di identificazione ( LVS-Z001 nel caso di Lovense) così da permettere a un malintenzionato di andarsene in giro per la città con un’antenna sufficientemente potente da costruirsi una “mappa” dei dispositivi vulnerabili da prendere di mira in seguito.

I problemi di sicurezza evidenziati da PTP nell’implementazione delle connessioni BLE non si limitano ai sex toy, visto che anche negli altri oggetti “smart” – magari pensati per usi meno ricreativi come un apparecchio acustico dal costo di svariate migliaia di dollari – le protezioni sono inesistenti e le possibilità di attacco notevoli.

I ricercatori esortano i progettisti a migliorare la opsec dei gadget della IoT – implementando ad esempio un PIN univoco per ogni singola unità da inserire nella documentazione allegata. E di cominciare a farlo piuttosto in fretta, visto che la prossima revisione dello standard Bluetooth (4.2) permetterà i collegamenti a basso consumo (BLE) tra un singolo dispositivo e più persone.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti