Gli esperti di F-Secure Consulting hanno sottolineato come un difetto di progettazione scoperto in una smart lock porti alla ribalta la questione della sicurezza. La serratura smart lock infatti era impossibilitata a ricevere aggiornamenti del firmware facendo sì che il difetto non potesse essere completamente risolto. Questo caso, secondo F-Secure Consulting, mette in evidenza le difficoltà che produttori e consumatori affrontano nel proteggere i nuovi dispositivi connessi a Internet che stanno invadendo il mercato. Una stima recente prevede che ci saranno 125 miliardi di dispositivi connessi a Internet entro il 2025 (fonte). Ma man mano che questi dispositivi IoT si diffondono, lo stesso faranno anche i problemi di sicurezza che si portano dietro.
KeyWe Smart Lock, dispositivo di accesso a controllo remoto utilizzato soprattutto in abitazioni private, consente agli utenti di aprire e chiudere le porte con un’app sul proprio smartphone. F-Secure Consulting ha scoperto di poter sfruttare i protocolli di comunicazione progettati in modo errato arrivando a intercettare la passphrase segreta che controlla il dispositivo di accesso mentre viene scambiata tra il dispositivo fisico e l’app mobile.
Krzysztof Marciniak, consulente di sicurezza informatica di F-Secure Consulting Lo smart lock ha diversi meccanismi di protezione. Sfortunatamente, il suo design rende piuttosto semplice per gli attaccanti bypassare questi meccanismi per intercettare i messaggi scambiati tra lo smart lock e l’app, lasciandolo aperto a un attacco relativamente semplice. Non c’è modo di mitigare questo difetto, quindi accedere alle case protette dallo smart lock è una scommessa già vinta per i ladri in grado di replicare questo attacco. Tutto ciò che serve agli attaccanti è un po’ di know-how, un dispositivo per catturare il traffico – che può essere acquistato in molti negozi di elettronica di consumo a partire da 10 dollari – e un po’ di tempo per trovare i proprietari di queste serrature intelligenti.
Lo smart lock ha diverse funzioni di sicurezza utili, tra cui la crittografia dei dati che serve a impedire a parti non autorizzate di accedere a informazioni critiche sul sistema, come appunto la passphrase segreta. Tuttavia, F-Secure Consulting ha trovato modi relativamente semplici per aggirare le misure di sicurezza del sistema. E poiché il dispositivo non può ricevere gli aggiornamenti del firmware, il difetto sfruttato dall’attacco non può essere riparato, il che significa che i proprietari dello smart lock dovranno sostituire questa serratura intelligente o convivere con questo rischio.
Krzysztof Marciniak, consulente di sicurezza informatica di F-Secure Consulting La sicurezza non ha una ‘taglia unica’. Deve essere personalizzata per tenere conto dell’utente, dell’ambiente del modello di minaccia e molto altro ancora. Fare questo non è facile, ma se i venditori di dispositivi IoT immetteranno sul mercato prodotti che non possono ricevere aggiornamenti, allora è importante costruirli e progettarli affinché siano sicuri fin dall’inizio.
