Sicurezza, la smarthome di Samsung è bucata

Un team universitario si mette a fare le pulci alla piattaforma IoT coreana. E scova qualche bug di troppo che impone qualche correzione di rotta

Roma – Si tratta, a detta dei suoi autori , del primo studio di questo tipo condotto in modo approfondito sulla Internet of Things declinata sulla vita domestica: un team dell’Università del Michigan, in collaborazione con un rappresentante di Microsoft Research, ha analizzato la piattaforma SmartThings di Samsung, individuando non meno di 4 potenziali vettori di attacco che potrebbero compromettere la sicurezza di una abitazione dotata di questo sistema per la domotica .

SmartThings è un complesso ecosistema composto di non meno di 500 differenti app che possono interagire con diversi componenti intelligenti presenti in casa: si può gestire una serratura elettronica per la porta (quasi sconosciuta qui da noi in Italia, ma diffusa negli USA dove la si utilizza ad esempio per far accedere ColF e altri addetti in determinati orari e giorni), si può controllare a distanza le luci e le tapparelle per simulare la presenza in casa anche quando non si è fisicamente tra le mura domestiche. Proprio analizzando queste app i ricercatori sono venuti a conoscenza di una serie di informazioni preziose quanto pericolose.

Effettuando il reverse engineering di una di queste app, infatti, i ricercatori hanno scovato un codice che in teoria dovrebbe rimanere ben offuscato e segreto per evitare che un malintenzionato possa sottrarre indizi preziosi. Grazie a questo codice l’attaccante potrebbe creare delle email di phishing che rimandino al sito ufficiale di SmartThing tramite un redirect, e con questo espediente potrebbero acquisire informazioni utili a “clonare” la chiave di una serratura : in questo caso, significa di fatto ottenere la capacità di produrre PIN numerici capaci di aprire la porta all’insaputa del proprietario.

Un’altra possibilità riguarda la disseminazione di app malevole all’interno dell’ecosistema SmartThings: poiché la gestione dei privilegi delle app non è, a detta dei ricercatori, perfettamente implementata, molte di quelle analizzate (più della metà) godono di poteri che non dovrebbero essergli concessi . Questo equivale a dire che un’app potrebbe contenere direttamente, o prelevare “alla bisogna”, del codice che gli permetta di fare ben altro oltre quello per cui viene spacciata: l’esempio scelto riguarda un’app che controlli il livello di carica dei dispositivi IoT collegati alla rete domestica, in grado però di arrivare a disabilitare la modalità “vacanza” (quella che permette di simulare la presenza in casa regolando apertura e chiusura di tapparelle, accensione e spegnimento luci).

Quest’ultima eventualità, per stessa ammissione dei ricercatori , è più improbabile: non si sono avventurati a tentare di infiltrare un’app di questo tipo nello store Samsung, sia per ragioni legali sia per non esporre nessuno a un potenziale danno (e non hanno neppure detto di quali app hanno effettuato il reverse engineering), dunque non hanno potuto verificare se l’azienda coreana sarebbe stata in grado di accorgersi del rischio e bloccarla. Sta di fatto che hanno colto l’occasione per notificare il problema a Samsung, che pare abbia preso sul serio la faccenda e nelle passate settimane ha già rilasciato alcune patch per arginare i comportamenti più pericolosi.

Da parte sua, comunque, Seoul ribadisce che il mancato rispetto delle linee guida e delle raccomandazioni per lo sviluppo delle app SmartThing è normalmente la causa principale di questo tipo di vulnerabilità – di fatto scaricando la responsabilità su terzi. La realtà è che tutto l’universo IoT è al momento decisamente giovane e privo quindi dell’esperienza necessaria a garantire la sicurezza che chiunque vorrebbe applicata a casa propria . Come dimostra anche un altro hack messo a segno in queste stesse ore, questa volta da RedTeam Security , anche le diffusissime soluzioni basate su RFID (presenti spesso negli edifici destinati alle aziende) sono decisamente poco sicure visto che i dati viaggiano in chiaro e bastano attrezzature per poche centinaia di euro per clonare le chiavi di accesso a un palazzo, un laboratorio di ricerca o uno stabilimento produttivo.

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Risposta alla notizia scrive:
    Spariti da Internet
    Non possono sparire completamente così non ci ammorbano con la loro musica di XXXXX?
    • mmm scrive:
      Re: Spariti da Internet
      Dopo aver letto il tuo commento mi sono preso la briga di ascoltare alcuni dei loro brani e devo odire che hai proprio ragione.
      • Risposta alla notizia scrive:
        Re: Spariti da Internet
        - Scritto da: mmm
        Dopo aver letto il tuo commento mi sono preso la
        briga di ascoltare alcuni dei loro brani e devo
        odire che hai proprio
        ragione.Musica per hipster.
    • Commerciali sta scrive:
      Re: Spariti da Internet
      - Scritto da: Risposta alla notizia
      Non possono sparire completamente così non ci
      ammorbano con la loro musica di
      XXXXX?e' vero non e' per tutti la musica degli radiohead meglio la musica commerciale per le masse e lasciare la musica d'avanguardia agli intenditori, anche altri famosi compositori si sono scontrati con questo problema.Se ti affretti puoi vedere il concerto di Justien Biebier sono rimasti posti liberi
      • Risposta alla notizia scrive:
        Re: Spariti da Internet
        - Scritto da: Commerciali sta
        e' vero non e' per tutti la musica degli
        radiohead meglio la musica commerciale per le
        masse e lasciare la musica d'avanguardia agli
        intenditori, anche altri famosi compositori si
        sono scontrati con questo
        problemaTipo chi?
        Se ti affretti puoi vedere il concerto di Justien
        Biebier sono rimasti posti
        liberiAppunto. Come dicevo sopra. Tipico gruppo per hipster che si credono 'superiori' (fra l'altro, vorrei far notare che i Radiohead hanno venduto milioni di dischi e sono pure stra-conosciuti, ma questo è un dettaglio che al cervelletto atrofizzato degli hipster sfugge).
        • bubba scrive:
          Re: Spariti da Internet
          - Scritto da: Risposta alla notizia
          - Scritto da: Commerciali sta


          e' vero non e' per tutti la musica degli

          radiohead meglio la musica commerciale per le

          masse e lasciare la musica d'avanguardia agli

          intenditori, anche altri famosi compositori si

          sono scontrati con questo

          problema

          Tipo chi?


          Se ti affretti puoi vedere il concerto di
          Justien

          Biebier sono rimasti posti

          liberi

          Appunto. Come dicevo sopra. Tipico gruppo per
          hipster che si credono 'superiori' (fra l'altro,
          vorrei far notare che i Radiohead hanno venduto
          milioni di dischi e sono pure stra-conosciuti, ma
          questo è un dettaglio che al cervelletto
          atrofizzato degli hipster
          sfugge).in effetti meglio Fedez. no non dico per la musica, ma perche' ha pubblicamente sXXXXXcchiato la SIAE ed e' passato a soundreef (UK) :)
        • Commerciali sta scrive:
          Re: Spariti da Internet
          - Scritto da: Risposta alla notizia
          - Scritto da: Commerciali sta


          e' vero non e' per tutti la musica degli

          radiohead meglio la musica commerciale per le

          masse e lasciare la musica d'avanguardia agli

          intenditori, anche altri famosi compositori si

          sono scontrati con questo

          problema

          Tipo chi?
          Mozart (forse il piu' grande musicista di tutti i tempi) e tanti altri compositori che dovevano affittare un teatro e sperare di riempirlo per rientrare nei costi.E' il dilemma di tutti gli artisti faccio qualcosa per le masse e faccio cassa o qualcosa di piu' sofisticato che mi appaga di piu' ma con un seguito minore di persone?

          Se ti affretti puoi vedere il concerto di
          Justien

          Biebier sono rimasti posti

          liberi

          Appunto. Come dicevo sopra. Tipico gruppo per
          hipster che si credono 'superiori' (fra l'altro,
          vorrei far notare che i Radiohead hanno venduto
          milioni di dischi e sono pure stra-conosciuti, ma
          questo è un dettaglio che al cervelletto
          atrofizzato degli hipster
          sfugge).Non e' cosi' elitaria la musica degli Radiohead
Chiudi i commenti