Smart home e dispositivi IoT: sicurezza zero

Symantec ha analizzato 50 device IoT per la smart home. La maggior parte di essi non offre nessuna protezione contro gli attacchi via Internet.

Symantec ha analizzato 50 dispositivi per la smart home attualmente in vendita, scoprendo che molti device IoT offrono solo una protezione elementare contro i più diffusi attacchi effettuati online. La presenza di note vulnerabilità nei dispositivi e nelle app mobile usate per il controllo remoto ha confermato purtroppo che per i produttori la sicurezza è una caratteristica secondaria. La software house fornisce agli utenti alcuni consigli per ridurre al minimo i rischi.

Sul mercato sono già disponibili numerose soluzioni per realizzare una smart home. È possibile acquistare elettrodomestici dotati di una connessione Internet oppure trasformare un vecchio modello in un dispositivo IoT. La loro diffusione è ancora agli inizi, ma si prevede un rapido aumento delle vendite nei prossimi anni. Secondo Gartner, ci saranno 25 miliardi di “cose” connesse entro il 2020. Ciò significa che anche i cyberattacchi sono destinati a crescere in maniera esponenziale.

I ricercatori di Symantec hanno analizzato termostati, serrature, lampadine, rilevatori di fumo, hub e dispositivi per la gestione energetica. Inoltre sono stati esaminati allarmi, videocamere di sorveglianza, sistemi di intrattenimento, router e NAS. Alcuni smart device usano un servizio cloud per monitorare l’uso e consentire agli utenti di controllare da remoto questi sistemi. L’accesso può avvenire tramite app o portale web.

Symantec ha scoperto che nessuno dei dispositivi offre l’autenticazione reciproca tra client e server o consente di utilizzare password robuste (spesso viene chiesto un semplici PIN a quattro cifre). Inoltre, quasi nessun servizio cloud offre l’autenticazione in due fattori e una protezione contro attacchi brute-force. Come se non bastasse, molte interfacce web contengono vulnerabilità ben note. In poco tempo, i ricercatori sono riusciti ad aprire una serratura da remoto, senza conoscere la password.

I dispositivi IoT non sono ancora i bersagli preferiti dei cybercriminali, ma potrebbero diventarlo molto presto. I produttori dovrebbero considerare seriamente il problema della sicurezza, utilizzando ad esempio codice firmato e il protocollo SSL/TLS. Nell’attesa, gli utenti possono seguire alcuni consigli, come cambiare le password predefinite, disattivare il device quando non serve o usare una connessione wired (se possibile).

Ti potrebbe interessare