Si tratta, a detta dei suoi autori , del primo studio di questo tipo condotto in modo approfondito sulla Internet of Things declinata sulla vita domestica: un team dell’Università del Michigan, in collaborazione con un rappresentante di Microsoft Research, ha analizzato la piattaforma SmartThings di Samsung, individuando non meno di 4 potenziali vettori di attacco che potrebbero compromettere la sicurezza di una abitazione dotata di questo sistema per la domotica .
SmartThings è un complesso ecosistema composto di non meno di 500 differenti app che possono interagire con diversi componenti intelligenti presenti in casa: si può gestire una serratura elettronica per la porta (quasi sconosciuta qui da noi in Italia, ma diffusa negli USA dove la si utilizza ad esempio per far accedere ColF e altri addetti in determinati orari e giorni), si può controllare a distanza le luci e le tapparelle per simulare la presenza in casa anche quando non si è fisicamente tra le mura domestiche. Proprio analizzando queste app i ricercatori sono venuti a conoscenza di una serie di informazioni preziose quanto pericolose.
Effettuando il reverse engineering di una di queste app, infatti, i ricercatori hanno scovato un codice che in teoria dovrebbe rimanere ben offuscato e segreto per evitare che un malintenzionato possa sottrarre indizi preziosi. Grazie a questo codice l’attaccante potrebbe creare delle email di phishing che rimandino al sito ufficiale di SmartThing tramite un redirect, e con questo espediente potrebbero acquisire informazioni utili a “clonare” la chiave di una serratura : in questo caso, significa di fatto ottenere la capacità di produrre PIN numerici capaci di aprire la porta all’insaputa del proprietario.
Un’altra possibilità riguarda la disseminazione di app malevole all’interno dell’ecosistema SmartThings: poiché la gestione dei privilegi delle app non è, a detta dei ricercatori, perfettamente implementata, molte di quelle analizzate (più della metà) godono di poteri che non dovrebbero essergli concessi . Questo equivale a dire che un’app potrebbe contenere direttamente, o prelevare “alla bisogna”, del codice che gli permetta di fare ben altro oltre quello per cui viene spacciata: l’esempio scelto riguarda un’app che controlli il livello di carica dei dispositivi IoT collegati alla rete domestica, in grado però di arrivare a disabilitare la modalità “vacanza” (quella che permette di simulare la presenza in casa regolando apertura e chiusura di tapparelle, accensione e spegnimento luci).
Quest’ultima eventualità, per stessa ammissione dei ricercatori , è più improbabile: non si sono avventurati a tentare di infiltrare un’app di questo tipo nello store Samsung, sia per ragioni legali sia per non esporre nessuno a un potenziale danno (e non hanno neppure detto di quali app hanno effettuato il reverse engineering), dunque non hanno potuto verificare se l’azienda coreana sarebbe stata in grado di accorgersi del rischio e bloccarla. Sta di fatto che hanno colto l’occasione per notificare il problema a Samsung, che pare abbia preso sul serio la faccenda e nelle passate settimane ha già rilasciato alcune patch per arginare i comportamenti più pericolosi.
Da parte sua, comunque, Seoul ribadisce che il mancato rispetto delle linee guida e delle raccomandazioni per lo sviluppo delle app SmartThing è normalmente la causa principale di questo tipo di vulnerabilità – di fatto scaricando la responsabilità su terzi. La realtà è che tutto l’universo IoT è al momento decisamente giovane e privo quindi dell’esperienza necessaria a garantire la sicurezza che chiunque vorrebbe applicata a casa propria . Come dimostra anche un altro hack messo a segno in queste stesse ore, questa volta da RedTeam Security , anche le diffusissime soluzioni basate su RFID (presenti spesso negli edifici destinati alle aziende) sono decisamente poco sicure visto che i dati viaggiano in chiaro e bastano attrezzature per poche centinaia di euro per clonare le chiavi di accesso a un palazzo, un laboratorio di ricerca o uno stabilimento produttivo.
Luca Annunziata
Ti potrebbe interessare
4 mag 2016