I dispositivi IoT evolvono ma sono ancora vulnerabili

I dispositivi IoT evolvono ma sono ancora vulnerabili

 

La metà è risultata hackerabile a causa di password deboli

I dispositivi connessi sono generalmente considerati strumenti utili per rendere le nostre vite più semplici. Ma quanto sono sicuri dal punto di vista della cybersecurity? Già nel 2015 i ricercatori di Kaspersky Lab avevano deciso di studiare la gravità della minaccia che si cela dietro all’Internet of Things. I risultati erano stati preoccupanti, così due anni dopo hanno condotto una nuova indagine: tra 8 dispositivi IoT selezionati casualmente – dal ferro da stiro smart a una macchinina dotata di videocamera – la metà è risultata hackerabile a causa di password deboli. Inoltre, solo un dispositivo ha soddisfatto i requisiti dei ricercatori, dimostrando di essere sicuro.

I dispositivi IoT sono essenzialmente device connessi alla rete, con tecnologie integrate che consentono di interagire tra di loro e con l’ambiente esterno. La loro vasta diffusione e varietà ha reso i dispositivi IoT un obiettivo interessante per i cyber criminali. Un esempio sono gli attacchi DDoS da record lanciati nel 2016 grazie a una estesa botnet composta da router, telecamere IP, stampanti e altri dispositivi. Hackerando questi device i criminali sono in grado di ricattare o spiare le persone. Altri vettori di attacco possono essere ancora più pericolosi. Ad esempio, i dispositivi di rete domestici possono essere usati per condurre attività illegali oppure, ottenendo l’accesso a un dispositivo IoT, un cyber criminale può ricattare – e spiare – il suo proprietario allo scopo di estorcere denaro. Il dispositivo infettato potrebbe anche venire semplicemente reso inutilizzabile, sebbene questa non sia sicuramente l’ipotesi peggiore.

I ricercatori di Kaspersky Lab hanno quindi deciso di scoprire se i diversi report sui dispositivi smart e gli incidenti che li hanno visti coinvolti abbiano cambiato la situazione. Per scoprirlo, hanno nuovamente analizzato una selezione casuale di diversi prodotti IoT: un caricatore smart, una macchinina giocattolo controllata via app, una bilancia smart utilizzabile via app, un aspirapolvere smart, un ferro da stiro smart, una telecamera IP, uno smartwatch e la centralina di un sistema di smart home. Il risultato dell’indagine è preoccupante: tra gli 8 dispositivi esaminati, solamente uno soddisfaceva i requisiti di sicurezza stabiliti dai ricercatori.

Inoltre, la metà dei dispositivi poteva essere compromessa e facilmente sfruttata grazie alla carenza di attenzione dedicata dal vendor all’impostazione delle password. Infatti, i dispositivi avevano una password di default che non poteva essere cambiata, mentre in alcuni casi la password era persino la stessa per tutti i dispositivi della linea di prodotto.

I ricercatori di Kaspersky Lab consigliano agli utenti di adottare le seguenti misure per evitare di acquistare dispositivi smart vulnerabili:

  1. Prima di comprare un dispositivo IoT, è meglio cercare su Internet notizie relative a eventuali vulnerabilità. L’IoT è attualmente un argomento molto seguito e molti ricercatori si stanno impegnando a scoprire i problemi di sicurezza di questi prodotti, dai baby monitor ai fucili controllati via app. È probabile che il dispositivo a cui si è interessati sia già stato esaminato dai ricercatori di sicurezza ed è spesso possibile scoprire se il problema trovato nel dispositivo sia stato risolto o no.
  2. Non è sempre una buona idea comprare i prodotti appena rilasciati sul mercato. Oltre ai bug standard comunemente trovati in questi prodotti, i dispositivi appena lanciati hanno maggiori probabilità di contenere problemi di sicurezza che non sono ancora stati scoperti dai ricercatori. La scelta migliore è acquistare prodotti per i quali sono già stati rilasciati diversi aggiornamenti software.
  3. Quando si deve scegliere quale parte della propria vita rendere più “smart”, è importante considerare i rischi di sicurezza. Se si conservano in casa molti beni di valore, sarebbe meglio installare un sistema di allarme professionale al posto o in aggiunta all’attuale sistema di allarme controllato via app; altrimenti è consigliabile impostare il sistema esistente in modo da rendere inoffensiva ogni vulnerabilità.