UPnP, a rischio in milioni

Un ricercatore di sicurezza identifica alcune falle nel popolare protocollo di comunicazione tra dispositivi di rete e testa decine di milioni di unità. I risultati sono preoccupanti, e le eventuali patch non sono ancora in vista

Roma – La tecnologia di comunicazione nota come Universal Plag and Play (UPnP) è affetta da ben tre diverse tipologie di falle, e il numero di dispositivi di rete vulnerabili si conta a decine di milioni: a diffondere la (preoccupante) notizia è Rapid7, pubblicando uno studio realizzato dal creatore di Metasploit (e attuale CTO di Rapid7) HD Moore.

Lavorando per mesi nella raccolta di indirizzi IP e nel test delle macchine connesse a Internet, Moore ha identificato 80 milioni di IP unici che hanno risposto ai pacchetti UPnP inviati dal ricercatore: di questi, 50 milioni sono risultati suscettibili alle vulnerabilità identificate nello studio.

UPnP è composto da una serie di protocolli usati per facilitare la connessione e l’enumerazione in rete di ogni sorta di dispositivi elettronici, dai gadget dell’elettronica di consumo fino ai router domestici e non. Le falle sono state identificate nel protocollo di presentazione (SSDP) e nelle implementazioni HTTP e SOAP (Simple Object Access Protocol) di UPnP.

I rischi di sicurezza generati dalle vulnerabilità potrebbero portare – nel peggiore dei casi – a impostare una porta aperta all’interno di un firewall, e anche se al momento gli exploit sono difficili da realizzare non è difficile immaginare la crescita di interesse a riguardo da parte di hacker e cyber-criminali.

Le falle di UPnP rappresentano un problema di livello industriale , interessando 6.900 diversi dispositivi di rete realizzati da 1.500 produttori: Rapid7 ha collaborato con lo US-CERT per avvertire il maggior numero di aziende interessate, e in attesa di patch e firmware aggiornati – laddove sarà possibile applicarli – il consiglio per amministratori IT e proprietari di router domestici è quello di disabilitare UPnP quanto prima.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Izio01 scrive:
    Esiste da anni
    "Penna" scanner con display incorporato e diversi dizionari tra cui scegliere, ad esempio inglese-inglese o inglese-italiano. Ne avevo comprata una qualcosa come otto anni fa e funzionava anche decentemente. Il limite era il display piccolo, e anche il fatto che i termini che non sapevo tradurre erano solitamente termini inusuali, spesso non presenti nel dizionario non eccelso della penna.
  • lopposto scrive:
    Questo concept
    Questo concept, come tutti i concept fatti dai designer è una stupidaginina fatta per farsi pubblicità. Questo perchè appunto fatta da un designer senza nulla da perdere (nessuno si aspetta sia minimamente a conoscenza di come funziona la tecnologia) e non da una azienda seria che magari ci spende sopra anche un suo brand..Volete fare una bella figura con i vostri lettori?Scrivetelo nel titolo che si tratta di un concept. Così chi non vuole perdere tempo non lo legge chi invece vuole farsi 2 risate gli da un'occhiata e ammira la bravura con cui sono fatti gli effetti speciali nei filmati di presentazione.
  • controlli a campione scrive:
    Titolo-bufala
    "Per leggere in lingua originale, comprendendo ogni singola parola"Ma manco per sogno... cosa potrebbe mai comprendere una penna che non è nemmeno in grado di leggere la frase completa. Pure Google Translate che è anni luce avanti alla traduzione parola per parola spesso travisa il significato delle parole perché non ne comprende il contesto. Al massimo la penna l'unica cosa che potrebbe fare è quella di dare una traduzione della parola, o proprio al limite una serie di possibili traduzioni.
    • Surak 2.0 scrive:
      Re: Titolo-bufala
      In teoria... basterebbe si usasse la penna come scanner, in un primo passaggio delle frasi, collegata ad un computer (per non pretendere troppo dalla penna) a cui vengono inviati i dati, lì un programma li trasmette a Google che ne fa una traduzione a frase. Dopo di che, sempre con un programma adatto e tenendo conto dela traduzione avuta, posizionando la penna su una parola delle tante, ti esce la relativa traduzione di ognuna o scorrendo la penna, della frase.Così è fattibile e neanche complicatissimo per un informatico decente, chiaro che l'utilità è modesta e non vi è comunque una certezza assoluta sul risultato e il prodotto sarebbe costosino.
Chiudi i commenti