Falla di sicurezza nei campanelli smart Amazon Ring: possono esporre la password del WiFi

Falla di sicurezza nei campanelli smart Amazon Ring: possono esporre la password del WiFi

La vulnerabilità, già risolta a settembre, viene condivisa ora a scopo divulgativo. I dispositivi smart home spesso soffrono di problemi di sicurezza, trascurando il principio di security by design

di pubblicata il , alle 19:21 nel canale Sicurezza
 

I ricercatori di sicurezza di Bitdefender hanno individuato una vulnerabilità nei campanelli smart Ring che può consentire di intercettare le password delle reti WiFi a cui sono connessi. I campanelli Ring, proprietà di Amazon, sono equippaggiati con piccole telecamere e sensori di movimento, e il loro scopo è quello di aumentare il livello di sicurezza di un'abitazione potendo monitorare ciò che accade dinnanzi alla porta di casa.

Proprio per questo motivo è di gravità estrema l'esistenza di una falla di sicurezza in un dispositivo di questo genere. Cosa succede nel concreto? Lo spiegano i ricercatori: quando si configura il dispositivo per la prima volta e si entra in modalità configurazione, il dispositivo riceve dall'app per smartphone le credenziali per l'accesso alla rete WiFi dell'utente. In questo caso lo scambio dati è eseguito su protocollo HTTP, cioè su una connessione non crittografata.

Ciò significa che in questa fase la password è comunicata in chiaro sulla rete WiFi. Ciò permette ad un malintenzionato che si trova nel raggio di copertura della rete WiFi di poter intercettare la password, accedere alla rete e portare a compimento attacchi più sofisticati o attività di spionaggio e video-controllo. E' bene osservare che il resto dell'operatività e delle comunicazioni tra dispositivo e app per la sua gestione avvengono su protocollo HTTPS, ma nella prima fase di configurazione ciò non accade.

La buona notizia è che la vulnerabilità è già stata risolta lo scorso mese di settembre, i ricercatori l'hanno notificata ad Amazon in forma riservata e resa nota in questi giorni a scopo divulgativo. Si tratta infatti di un esempio che aiuta a capire come le tecnologie smart-home siano per lo più colpite da problemi di sicurezza, il che è paradossale se si pensa che una buona parte di queste tecnologie e dei dispositivi sono pensati proprio per elevare il livello di sicurezza dell'abitazione.

La sicurezza tecnologica dovrebbe essere una responsabilità individuale di ciascuno, in uno sforzo concertato che chiama in causa sia l'utente finale, sia i produttori di dispositivi. Nel caso di questi ultimi, i dispositivi dovrebbero rispondere al principio di "security by design" e cioè progettati in prima istanza per essere sicuri. Ciò troppo spesso non accade, per questioni di costi o anche solo semplicemente perché una corretta implementazione di misure di sicurezza adeguate potrebbe avere ricadute sull'esperienza d'uso.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
maxnaldo11 Novembre 2019, 08:46 #1
"In questo caso lo scambio dati è eseguito su protocollo HTTP, cioè su una connessione non crittografata.
Ciò significa che in questa fase la password è comunicata in chiaro sulla rete WiFi"

Qui non si tratta di falla o bug, siamo proprio nel campo della demenza informatica. Se ne sono semplicemente fregati della sicurezza, adottando il pensiero comune dei "programmatori per caso" che le probabilità di un attacco siano minime.

Internet Of Things ? No grazie, se la cultura generale sulla sicurezza è questa qui io passo.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^