Uno studio HP Fortify evidenzia la vulnerabilità degli smartwatch agli attacchi, il 100% di questi wearable device provati mostra problemi di sicurezza.
Come parte di una serie di indagini che analizzano la sicurezza della Internet of Things (IoT), HP ha reso noti i risultati di un’analisi che conferma che gli smartwatch dotati di funzionalità di rete e comunicazione rappresentano una nuova frontiera sensibile agli attacchi informatici. Lo studio condotto da HP Fortify ha rilevato che il 100% degli smartwatch testati presenta vulnerabilità significative, in termini ad esempio di autenticazione insufficiente, mancanza di crittografia e problemi di privacy. Nel report HP fornisce alcuni consigli attuabili per lo sviluppo e l’uso sicuro degli smartwatch, sia a casa sia sul luogo di lavoro.
Con i progressi del mercato IoT, gli smartwatch stanno acquisendo popolarità per la loro praticità e la loro capacità. Diventando sempre più mainstream, gli smartwatch conterranno sempre più informazioni sensibili, ad esempio i dati sanitari, e attraverso la connettività con le app mobile potrebbero presto consentire funzioni di accesso fisico come l’apertura delle serrature di auto e abitazioni.
Jason Schmitt, General Manager, HP Security, Fortify
Gli smartwatch hanno appena iniziato a far parte della nostra vita, ma offrono un nuovo livello di funzionalità che potrebbe aprire la porta a nuove minacce per le attività e le informazioni sensibili. Con l’accelerazione nell’adozione degli smartwatch, la piattaforma diverrà molto più attraente per coloro che intendono abusare delle possibilità di accesso; è pertanto fondamentale prendere precauzioni durante la trasmissione di dati personali o la connessione degli smartwatch alle reti aziendali.
Lo studio di HP esamina se gli smartwatch sono progettati per archiviare e proteggere le attività e i dati sensibili per cui sono stati costruiti. HP ha utilizzato HP Fortify on Demand per analizzare 10 smartwatch, insieme ai componenti per applicazioni mobile e cloud di Android e iOS, evidenziando numerosi problemi di sicurezza.
I problemi di sicurezza più comuni e di facile risoluzione includono:
• Autorizzazione/autenticazione utente insufficienti: ogni smartwatch testato è stato associato a un’interfaccia mobile priva dell’autenticazione a due fattori e della capacità di bloccare gli account dopo 3-5 tentativi falliti di immissione della password. Tre su dieci, vale a dire il 30%, si sono rivelati vulnerabili all’account harvesting: in pratica, un malintenzionato potrebbe ottenere l’accesso al dispositivo e ai dati attraverso una combinazione di policy debole per le password, mancanza del blocco dell’account ed enumerazione degli utenti.
• Mancanza di crittografia delle trasmissioni: la crittografia delle trasmissioni è cruciale, visto che le informazioni personali vengono trasferite in più posizioni all’interno del cloud. Anche se il 100% dei prodotti testati implementa la crittografia delle trasmissioni utilizzando SSL/TLS, il 40% delle connessioni al cloud continua a essere vulnerabile all’attacco POODLE, consente l’uso di cifrari deboli o impiega tuttora SSL v2.
• Interfacce non sicure: il 30% degli smartwatch testati utilizza interfacce Web basate su cloud, che presentano tutte problemi di enumerazione degli account. In un test separato, il 30% ha rivelato inoltre problemi di enumerazione degli account nelle relative app mobile. Questa vulnerabilità consente agli hacker di identificare gli account utente validi attraverso il feedback ricevuto dai meccanismi di reimpostazione della password.
• Software/firmware non sicuro: ben il 70% degli smartwatch presenta problemi di protezione legati agli aggiornamenti del firmware, tra cui la trasmissione degli aggiornamenti del firmware senza crittografia e l’assenza di crittografia dei file di aggiornamento. Tuttavia, molti aggiornamenti sono firmati per impedire l’installazione di firmware contaminato. Per quanto non sia possibile installare aggiornamenti dannosi, la mancanza di crittografia permette di scaricare e analizzare i file.
• Problemi di privacy: tutti gli smartwatch raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, peso, sesso, frequenza cardiaca e altre informazioni sanitarie. Visti i problemi di enumerazione degli account e l’utilizzo di password deboli su alcuni prodotti, l’esposizione di queste informazioni personali è fonte di preoccupazione.
Mentre i produttori lavorano per integrare le misure di sicurezza necessarie negli smartwatch, i consumer devono tenere fortemente in considerazione la sicurezza quando scelgono di utilizzare uno smartwatch. Si consiglia agli utenti di non attivare le funzioni di controllo di accesso sensibili come l’accesso all’auto o alla abitazione, a meno che non sia garantita un’autorizzazione forte.
Inoltre, abilitando la funzionalità del passcode, utilizzando password complesse e istituendo l’autenticazione a due fattori è possibile aiutare a prevenire l’accesso non autorizzato ai dati. Queste misure di sicurezza non solo sono importanti per proteggere i dati personali, ma sono cruciali nel momento in cui gli smartwatch vengono introdotti nell’ambiente di lavoro e connessi alle reti aziendali. Ulteriori linee guida per l’uso sicuro degli smartwatch sono disponibili nel report completo.