Nel più ampio panorama dell’Internet of Things, la domotica in ambito domestico rientra tra i segmenti di mercato in più rapida espansione, grazie alla riduzione dei costi. Sempre più sistemi di sicurezza sono connessi alla rete e sfruttano interfacce basate sul cloud per permettere agli utenti il controllo della propria abitazione da remoto. Una ricerca condotta da HP sembrerebbe però suggerire che proprio questi sistemi potrebbero soffrire di problemi di sicurezza.
L’indagine di HP sui sistemi di sicurezza per la casa è stato effettuato tramite HP Fortify on Demand e ha esaminato 10 dei dispositivi IoT più comuni per individuare eventuali vulnerabilità, avvalendosi di tecniche di test standard che prevedevano una combinazione di test manuali e l’uso di strumenti automatizzati. I dispositivi e i relativi componenti sono stati valutati in base ai criteri OWASP Internet of Things Top 10 e alle vulnerabilità specifiche associate a ciascuna delle 10 categorie principali. Nella maggioranza dei casi i dispositivi erano dotati di un’interfaccia basata su cloud, mentre tutti i dispositivi analizzati includevano un applicazione per l’accesso da dispositivi mobili.
Il risultato ha mostrato che il 100% dei dispositivi analizzati introduce svariati problemi di sicurezza. Tra le principali falle rilevate ci sono anche problemi di relativamente facile soluzione, ma che forse sono stati trascurati in nome di un’interfaccia utente meno complicata:
Metodi di autenticazione non sicuri: l’80% dei dispositivi presentavano applicazioni o un’interfaccia su cloud che permettevano l’utilizzo di password non sicure (come “1234”) o con meccanismi di recupero password non sicuri.
Interfaccia web non sicura: tutte le interfacce web basate su cloud testate presentavano problemi di sicurezza che permettono a un potenziale aggressore di ottenere accesso all’account mediante una tecnica di harvesting degli account che sfrutta tre carenze applicative, ovvero enumerazione degli account, policy di password inefficaci e mancanza di funzionalità di blocco degli account. Analogamente, cinque dei dieci sistemi testati presentavano problemi di harvesting degli account riguardanti l’interfaccia dell’applicazione mobile, che espone i consumatori a rischi analoghi.
Comunicazioni non crittografate: sette dispositivi su dieci trasmettevano i dati sulla rete in chiaro.
Problemi di privacy: l’80% dei dispositivi richiedevano dati personali, quali nome, indirizzo, data di nascita, numero di telefono e persino numero di carta di credito, ma non sempre sembra che questo sia realmente necessario per il funzionamento del dispositivo.
Firmware o software insicuro: il 60% dei dispositivi non utilizzavano connessioni protette durante il download degli aggiornamenti firmware. In effetti i ricercatori sono stati in grado di intercettare il download, estrarlo e montarlo come filesystem Linux, con la possibilità di leggere e modificare i file contenuti.
Jason Schmitt, Vice President e General Manager, Fortify, Enterprise Security Products, HP Scegliendo di adottare dispositivi da remoto per la loro praticità e accessibilità, dobbiamo anche valutare il livello di rischio per le nostre case e le nostre famiglie. Poiché dieci dei sistemi di protezione più diffusi non includono le funzionalità fondamentali di sicurezza, i consumatori dovrebbero adottare alcune semplici e pratiche misure se i produttori dovessero assumersi la responsabilità di integrare le funzioni di sicurezza nei propri prodotti ed evitare di esporre inconsapevolmente i clienti a seri pericoli.
Il consiglio è quindi quello di prestare sempre la massima attenzione agli aspetti di sicurezza quando si installano dispositivi connessi sulla propria rete, implementando password sicure e le funzioni di blocco degli account dopo un determinato numero di accessi falliti. Se da un lato questo può portare a una minore semplicità di utilizzo, dall’altro evita ai malintenzionati di utilizzare a loro vantaggio i dispositivi pensati per combatterli.
