di Alessandro Bassi
Bluetooth è incontestabilmente uno dei protocolli di maggior successo. Letteralmente milioni di oggetti ne fanno uso ed è entrato oramai nel “tessuto” del quotidiano. Questa nota, per esempio, è scritta da una tastiera connessa con bluetooth, mentre sto ascoltando la radio via internet – e le casse nel mio ufficio sono connesse tramite bluetooth al mio smartphone. Bluetooth Low Energy (BLE) è la versione “light” di bluetooth, che è stata sviluppata per usare il meno possibile le batterie.
Il rovescio della medaglia, perché purtroppo ce n’è sempre uno, è che moltissimi oggetti che implementano BLE non hanno né il channel hopping né usano il link-layer security, rendendoli quindi estremamente vulnerabili a qualsiasi tipo di attacco.
Per esempio, recentemente, all’evento HackInBo è stato mostrato come “hackerare” un “butt plug” che implementava in un modo estremamente insicuro questo protocollo. (1)
Se controllare in remoto aggeggi di questo tipo (come in passato la toilette “mysatis” (2)) pare una questione relativa più al settore ludico, e non sembra avere ripercussioni sulla “vera” sicurezza – per esempio delle nostre case o dei nostri asset – è pero sintomatica di come innumerevoli volte si ignori completamente la sicurezza nello sviluppare nuovi oggetti connessi. Questo nonostante i numerosissimi articoli sull’insicurezza degli oggetti connessi, e sulle dichiarazioni – purtroppo, spesso di facciata – che parlano della “sicurezza by design” dei vari prodotti.
E’ doveroso ricordare che tra le varie sfide che gli oggetti connessi devono affrontare, quello della sicurezza è probabilmente il più importante. Batterie di lunga durata, miniaturizzazione dei componenti elettronici e autonomicità degli oggetti sono inutili se poi gquesti possono essere controllati da un’entità esterna. Questo fallimento della sicurezza, anche se solo in prodotti “ludici”, intacca il brand IoT intero.
(1) https://scubarda.wordpress.com/2017/10/17/hacking-a-bt-low-energy-ble-butt-plug/