fbpx

L'(in)sicurezza degli oggetti connessi

di Alessandro Bassi

Ieri sono uscite due notizie che mostrano quanto la sicurezza degli oggetti connessi sia ancora fragile.

A causa di un baco di un programma Open Source usato in milioni di applicazioni (gSOAP), hackers possono prendere il controllo di oggetti (come telecamere di sicurezza, per fare un esempio). Stephen Ridley, della startup Senrio, ha dimostrato che è possibile controllare le telecamere: non solo accedere al video streaming, ma istallare una backdoor, e anche impedire al legittimo proprietario di accederci. Praticamente, la telecamera diventa un oggetto collegato direttamente al PC dell’hacker, sotto il suo pieno controllo. Il baco (chiamato Devil’s Ivy) è stato scoperto durante dei test di una telecamera prodotta da Axis, una multinazionale svedese che vende più di 200 prodotti usati dovunque (per esempio, nell’aeroporto di Los Angeles).

Axis ha confermato l’esistenza del baco, giudicato critico. Il software è sviluppato da Genivia per il consorzio ONVIF, che include aziende come Siemens, Canon, Cisco e Hitachi, ed è usato da almeno 34 aziende nei loro prodotti.  

La seconda notizia sulla la sicurezza riguarda un allarme chiamato iSmartAlarm. La presenza di diversi bachi, tra cui il più grave permette a un attacker di controllare il sistema d’allarme, bloccando completamente il sistema di sicurezza.

E’ possibile, per esempio, avere accesso alla base dei dati iSmartAlarm, vedere dove sono installati, disattivare gli allarmi e entrare comodamente nelle case altrui. La comunicazione tra iSmartAlarm e la app per controllarla avviene sulla porta TCP 12345 ed è in plain text, quindi non crittografata. La società non ha voluto rilasciare commenti.

Questi due casi mostrano chiaramente quanto sia importante concentrarsi sulla sicurezza quando si sviluppano prodotti connessi, per evitare potenziali problemi (se non veri e propri disastri).

Per saperne di più:

http://blog.senr.io/blog/devils-ivy-flaw-in-widely-used-third-party-code-impacts-millions

http://seclists.org/fulldisclosure/2017/Jul/27

2017-11-14T10:59:08+00:00

Leave A Comment