Tra le innovazioni più recenti, i cosiddetti wearable device e gli smartwatch sono di fatto una realtà, un nuovo modo di comunicare e interagire che utenti e aziende dovranno imparare a conoscere. Gli orologi intelligenti che portiamo al polso consentono di interagire con i sistemi di messaggistica e con gli stimoli provenienti dal mondo esterno e, non ultimo, con gli applicativi e gli asset aziendale. Per amministratori IT e gestori della sicurezza questi apparati costituiscono una nuova sfida da gestire. Gli smartwatch comunicano direttamente con smartphone Android e iOS e devono pertanto rispettare protocolli e livelli di sicurezza adeguati per garantire la protezione del dato.
Tuttavia, secondo uno studio HP Fortify il 100% di questi wearable device mostra problemi di sicurezza, in termini di autenticazione insufficiente, mancanza di crittografia e problemi di privacy. HP ha utilizzato HP Fortify on Demand per analizzare 10 smartwatch, insieme ai componenti per applicazioni mobile e cloud di Android e iOS, evidenziando numerosi problemi di sicurezza.
Nel complesso sono stati rilevati sistemi di autorizzazione/autenticazione utente insufficienti: ogni smartwatch testato è stato associato a un’interfaccia mobile priva dell’autenticazione a due fattori e della capacità di bloccare gli account dopo 3-5 tentativi falliti di immissione della password. Tre su dieci, vale a dire il 30%, si sono rivelati vulnerabili all’account harvesting: in pratica, un malintenzionato potrebbe ottenere l’accesso al dispositivo e ai dati attraverso una combinazione di policy debole per le password, mancanza del blocco dell’account ed enumerazione degli utenti. HP ha registrato la mancanza di crittografia delle trasmissioni: la crittografia delle trasmissioni è cruciale, visto che le informazioni personali vengono trasferite in più posizioni all’interno del cloud. Anche se il 100% dei prodotti testati implementa la crittografia delle trasmissioni utilizzando SSL/TLS, il 40% delle connessioni al cloud continua a essere vulnerabile all’attacco POODLE, consente l’uso di cifrari deboli o impiega tuttora SSL v2. Sono state adottate interfacce non sicure: il 30% degli smartwatch testati utilizza interfacce Web basate su cloud, che presentano tutte problemi di enumerazione degli account. In un test separato, il 30% ha rivelato inoltre problemi di enumerazione degli account nelle relative app mobile. Questa vulnerabilità consente agli hacker di identificare gli account utente validi attraverso il feedback ricevuto dai meccanismi di reimpostazione della password. Il Software/firmware non è sicuro: ben il 70% degli smartwatch presenta problemi di protezione legati agli aggiornamenti del firmware, tra cui la trasmissione degli aggiornamenti del firmware senza crittografia e l’assenza di crittografia dei file di aggiornamento. Tuttavia, molti aggiornamenti sono firmati per impedire l’installazione di firmware contaminato. Per quanto non sia possibile installare aggiornamenti dannosi, la mancanza di crittografia permette di scaricare e analizzare i file. HP evidenzia problemi di privacy: tutti gli smartwatch raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, peso, sesso, frequenza cardiaca e altre informazioni sanitarie. Visti i problemi di enumerazione degli account e l’utilizzo di password deboli su alcuni prodotti, l’esposizione di queste informazioni personali è fonte di preoccupazione.
Mentre i produttori lavorano per integrare le misure di sicurezza necessarie negli smartwatch, i consumer devono tenere fortemente in considerazione la sicurezza quando scelgono di utilizzare uno smartwatch. Si consiglia agli utenti di non attivare le funzioni di controllo di accesso sensibili come l’accesso all’auto o alla abitazione, a meno che non sia garantita un’autorizzazione forte. Inoltre, abilitando la funzionalità del passcode, utilizzando password complesse e istituendo l’autenticazione a due fattori è possibile aiutare a prevenire l’accesso non autorizzato ai dati. Queste misure di sicurezza non solo sono importanti per proteggere i dati personali, ma sono cruciali nel momento in cui gli smartwatch vengono introdotti nell’ambiente di lavoro e connessi alle reti aziendali. Ulteriori linee guida per l’uso sicuro degli smartwatch sono disponibili nel report completo.
