Sicurezza nella Smart Home? Praticamente inesistente!

È quasi inquietante: i produttori di lampade LIFX, Xiaomi, Tuya e WIZ sono i diretti interessati di questo argomento. In un rapido test, l'hacker Limited Results è stato in grado di leggere le password di reti WIFI non criptate a cui erano connesse alcune lampadine smart. Per riuscirci, però, l'uomo ha dovuto agire fisicamente sul dispositivo.

Le lampade intelligenti devono in qualche modo ricollegarsi al WIFI domestico nel caso in cui vengano spente dall'interruttore generale. Tuttavia, la memorizzazione di tali dati non criptati è generalmente considerata una cattiva pratica. Dopo tutto, un ladro potrebbe svitare la lampada, aprirla e leggere i dati contenuti al suo interno.

L'esperto di sicurezza e fondatore di V-Trust, Michael Steigerwald, è riuscito a penetrare nelle lampadine Tuya senza invece doverle aprire. Steigerwald lo ha dimostrato durante una sua conferenza a Lipsia, senza ovviamente nominare il produttore. Il problema però è globale e, come hanno dimostrato in seguito i risultati del precedente hacker, non si limita ai singoli produttori.

Ho potuto parlato con l'esperto di sicurezza Maik Morgenstern di AV-Test sullo stato della sicurezza domestica intelligente e gli ho chiesto: "Da cliente, come posso sapere prima dell'acquisto se e in che misura posso fidarmi di un dispositivo elettrico connesso alla rete?". Questa è stata la risposta:

Negli occhi dell'opinione pubblica, si vedono soprattutto i casi in cui qualcosa va storto. Ciò che è particolarmente spaventoso in tal senso è che vengono commessi sempre gli stessi semplici errori, tanto che talvolta non è necessario essere un hacker esperto per penetrare. Le password vengono semplicemente inviate attraverso la rete in un semplice formato di testo.

Dal 2013 abbiamo testato i dispositivi IoT e abbiamo identificato diverse tendenze. I produttori più noti si stanno impegnando sempre di più per garantire la sicurezza informatica e possiamo notare che il livello è in costante aumento. Allo stesso tempo, tuttavia, nuove aziende si affacciano costantemente sul mercato e, in questo caso, la sicurezza informatica troppo spesso non ha alcun ruolo. Inoltre, la gestione della materia della protezione dei dati è trattata in modo molto diverso.

I produttori europei, in particolare, attirano sempre più spesso la nostra attenzione con una solida sicurezza informatica, ma anche con ragionevoli esigenze di protezione dei dati. Se le aziende si sottopongono anche ad un test di sicurezza volontario come AV-TEST, riconoscibile dal marchio AV-TEST "TESTED SMART HOME PRODUCT", c'è una buona probabilità che il dispositivo possa essere utilizzato in modo sicuro e che i dati dell'utente non vengano utilizzati in modo improprio.

Che siano note o meno, quando fornitori come Tuya vendono centinaia di migliaia di lampadine con differenti marchi, il cliente di certo non vede cosa c'è dentro tale prodotto, in quanto i contratti White Label mascherano la sua vera origine. Nel comunicato stampa dell'IFA Innovation Award, Tuya ha scritto:

Ad oggi, Tuya Smart ha sviluppato oltre un migliaio di prodotti software e hardware per aziende come TCL e Archos e attualmente lavora con oltre 10000 clienti in tutto il mondo.

I produttori hanno colto le critiche e hanno adattato i loro sistemi di conseguenza. Tuya ha risposto in un'ampia dichiarazione che i seguenti problemi dell'hack eseguito da Steigerwald saranno affrontati o sono già stati affrontati:

• La chiave AES viene ora trasmessa in modo criptato
• La comunicazione con il cloud Tuya sarà crittografata (TLS)
• Le informazioni nella memoria flash sono memorizzate in forma criptata
• I pacchetti firmware sono verificati
• L'applicazione è in grado di verificare le chiavi di sicurezza

Purtroppo, non ci è stato detto perché i dati di localizzazione di ogni singolo utente possono ancora essere recuperati dal cloud di Tuya. In questo modo, produttori come Tuya sanno inutilmente molto di voi clienti.

Lifx ci ha anche inviato una dichiarazione che sostanzialmente promette di fare lo stesso:

Tutte le vulnerabilità di gravità medio-alta identificate da Limited Results sono state corrette nelle versioni del firmware e nelle nostre app alla fine del 2018. Tutte le informazioni sensibili memorizzate nel firmware sono ora criptate e abbiamo introdotto ulteriori impostazioni di sicurezza nei nostri hardware. I clienti possono ottenere l'aggiornamento del firmware aprendo la loro applicazione LIFX.

Anche Xiaomi ha affermato che consegnerà un fix al problema, ma ci tiene a precisare che è impossibile hackerare i suoi prodotti senza un intervento fisico.

C'è bisogno di una regolamentazione seria

Le patch da sole non affronteranno il problema alla radice: i produttori di dispositivi Smart Home devono capire che la nostra protezione dei dati è importante anche per loro. Come clienti, dobbiamo essere in grado di poterci fidare dei produttori che sviluppano dispositivi domestici intelligenti con particolare attenzione alla privacy. Tutto il resto è secondario.

Così come sottolineano il valore aggiunto degli elettrodomestici collegati in rete, devono anche dimostrare che non siamo in pericolo. Anche in questo caso sarebbe auspicabile l'intervento del legislatore o delle associazioni per i consumatori. Questi potrebbero effettuare dei controlli di sicurezza o applicare delle specifiche norme.

Fino ad allora, dovremo accontentarci degli sforzi fai-da-te. Ad esempio, potete rendere più sicura la vostra casa intelligente regolando le impostazioni WIFI. Ma se non possiamo sapere in anticipo se l'apparecchiatura è stata prodotta in modo sicuro, anche i nostri migliori sforzi potrebbero essere vani.

Siete preoccupati per la sicurezza dei vostri apparecchi domestici intelligenti?

Fonte: Techcrunch, Heise