Il tuo bollitore iKettle sarà attaccato?

Sicurezza

iKettle, per chi non lo sapesse, è un bollitore smart che prepara tè e caffè via iPhone e iPad e che per alcune funzioni richiede l’accesso a Internet.

Se collegare il bollitore all’Internet of Things può renderti la vita più facile, potrebbe anche accadere che il bollitore ‘connesso’ renda pubblica la password del tuo Wi-Fi. “Per essere connesso a Internet, iKettle deve conoscere la password del tuo Wi-Fi, che viene salvata in chiaro nella sua memoria”, spiega Cory Doctorow di Boing Boing. “Il bollitore è anche abbastanza ingenuo da connettersi a qualsiasi rete che abbia lo stesso nome della tua. Quindi tutto ciò che deve fare un hacker è usare un’antenna in grado di sopraffare il tuo segnale Wi-Fi, direttamente attraverso i muri della tua casa, e ingannare il bollitore che si collegherà alla rete fasulla: l’hacker poi potrà estrarre la password del tuo Wi-Fi e connettersi alla tua rete.”

I ricercatori che hanno messo in luce la vulnerabilità hanno evidenziato quanto sia facile trovare iKettle non protetti in giro per Londra.

Ci dobbiamo quindi aspettare storie quotidiane di attaccanti che usano frullatori connessi alla rete per scavare nelle reti domestiche?

“I truffatori stanno forse girando per i quartieri per trovare iKettle e sopraffare ogni SSD che trovano?” mi ha chiesto Mika Stahlberg, Director of Strategic Threat Research di F-Secure. “Quale genere di profitto può essere in grado di trarre un criminale con questo approccio? Sfortunatamente, ci sono modi più semplici per ottenere accesso a un grande numero di reti domestiche che non prendere come bersaglio un iKettle. Per esempio, malware per Windows che si diffonde attraverso exploit kit o anche tecniche di wardriving* per Wi-Fi che presentano password deboli o addirittura nessuna password. Gli attacchi IoT nei confronti di baby monitor e dispositivi simili sono fatti su Internet da attaccanti che portano avanti questi attacchi a livello globale.”

Naturalmente, il panorama sta evolvendo velocemente con la nuova tecnologia, e la fantascienza diventa realtà più velocemente di quanto si possa solo immaginare.

Mika sostiene che arriverà presto un momento in cui questo genere di attacchi drive-by che colpiscono in modo specifico i dispositivi che sono presenti nelle case potranno rappresentare un vero modello di business per i criminali che prendono come bersagli frullatori o sistemi di irrigazione.

Ma questo probabilmente richiederà un kit di exploit con centinaia di exploit per i diversi dispositivi IoT. Se ciò avviene, il gioco è fatto. Combina quelle vulnerabilità con la capacità di noleggiare droni online per “couch tourism” e prima che lo sapremo, attacchi con tecniche di wardriving o warflying verso dispositivi in cucina connessi a Internet saranno solo un’altra minaccia da cui dovremo difenderci.

Ma per ora “a meno che i criminali abbiano preso di mira un obiettivo specifico e sanno che quel bersaglio possiede un iKettle” su rete Wi-Fi protetta debolmente, attacchi che utilizzano un frullatore IoT connesso non sono molto probabili – ancora.

“Stiamo vivendo i primi stadi dell’IoT e della sua adozione”, spiega Mikka. “Questi sono grandiosi report ‘post-mortem’ per persone che progettano soluzioni IoT. Ti permettono di imparare dagli errori di altre persone, ma sfortunatamente non credo che i team delle startup che stanno frettolosamente lanciando prodotti IoT sul mercato stiano prendendosi del tempo per imparare questa lezione. Questi report non significano che il cielo sta cadendo poiché l’IoT è ancora molto eterogeneo e l’adozione è relativamente bassa.”

Doctorow ha scritto eloquentemente circa la necessità di costruire privacy e sicurezza nell’Internet of Things – e sicuramente questo post è una spinta per gli sviluppatori affinché pensino seriamente ai loro prodotti futuri. Ciò che è allarmante è che alcuni sviluppatori IoT stanno producendo i loro ‘dispositivi smart’ come se non avessimo imparato nulla da decenni di minacce online.

 

* Il WarDriving è una tecnica che consiste nell’appostarsi nei pressi di un punto di accesso Wi-Fi per condividere la rete wireless a radiofrequenza navigando ad alta velocità e senza alcuna spesa.

Immagine di Harri Susi che gestisce @FSecure_IoT

Articolo tratto da “Will your iKettle get hacked?” di Jason Sattler, Social Media Consultant di F-Secure Corporation

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: