Chi di noi non possiede già in casa una Smart TV, un interruttore della luce, una stazione meteo collegati a Internet o un giocattolo interattivo per i nostri figli? Per non parlare dei router domestici. La casa intelligente è ormai realtà e i dispositivi IoT sono entrati a far parte della vita quotidiana di molti utenti, rendendola più semplice e comoda. Ma quanto sono sicuri in termini di protezione della privacy? I ricercatori di ESET hanno testato undici dei dispositivi IoT più diffusi sul mercato (compreso un prodotto che non è stato incluso nel report finale per la scoperta di vulnerabilità importanti) con l’obiettivo di creare una smart home di base. Il punto di partenza è stato un assistente personale virtuale – ovvero Amazon Echo – un dispositivo che accetta comandi verbali e può controllare molte delle device acquistate; una smart home può effettivamente iniziare con un dispositivo come questo e quindi espandersi funzionalmente con altri dispositivi IoT.
Gli altri dispositivi analizzati dai ricercatori di ESET sono stati:
- DLink DCH – G020 Connected Home, DLink DCH – S150 Monitor Sensor, DLink DCS – 935L Camera, DLink DCS – 2132L Camera
- NETAMTO Weather Station
- Nokia Health Body + Scale, Nokia Health Body cardio Scale
- Sonos Play:1 Speaker
- Woerlein Soundmaster Internet Radio IR4000SW
- TP Link Smart Plug HS110
La questione privacy
La principale area di interesse è stata la costruzione di una casa intelligente che non compromettesse la privacy, considerato che i dispositivi di questo tipo raccolgono molti dati personali di base. I ricercatori di ESET hanno riscontrato che le aziende spesso utilizzano il termine “ma non limitato a” (but not limited to), il che significa che potrebbero raccogliere una maggiore quantità di dati rispetto a quelli richiesti dalla policy sulla privacy.
Ogni dispositivo testato ha suscitato alcuni problemi di privacy, ma sono stati senza dubbio gli assistenti vocali a sollevare le maggiori preoccupazioni, legate all’ eccesso di condivisione dei dati per scopi commerciali, ad una protezione insufficiente dei dati personali archiviati e la possibilità di intercettazione del traffico digitale da parte di criminali informatici o malintenzionati.
Il problema sicurezza però non si limita ad apparecchi di questo tipo come confermato, per esempio, alla fine del 2017 dalla vulnerabilità chiamata HomeHack, individuata nell’applicazione mobile e Cloud Lg SmartThinkQ che consente l’accesso da remoto a tutti gli apparati compatibili con la tecnologia sviluppata dall’azienda coreana e che ha portato milioni di utenti dei dispositivi smart home Lg SmartThinQ a essere esposti a rischio di controllo remoto non autorizzato dei propri elettrodomestici.
Nello specifico le vulnerabilità presenti nell’applicazione mobile e Cloud permettevano di accedere in modalità remota all’applicazione Cloud dando l’accesso in maniera legittima al profilo Lg dell’utente, ottenendo così il controllo dell’aspirapolvere e della videocamera in esso integrata. Accendendo quindi all’account, qualsiasi dispositivo ad esso associato potrebbe essere controllato dai criminali informatici, compreso il robot aspirapolvere, frigoriferi, forni, lavastoviglie, lavatrici, asciugatrici e condizionatori d’aria.
E proprio tornando alla privacy ricordiamo come questa vulnerabilità HomeHack avrebbe potuto consentire ai criminali di spiare le attività casalinghe degli utenti tramite la videocamera presente nel robot aspirapolvere Hom-Bot, che invia video live all’applicazione LG SmartThinQ, presente all’interno della funzionalità HomeGuard Security. In base agli elettrodomestici Lg presenti in casa, gli hacker avrebbero potuto anche accendere o spegnere lavastoviglie o lavatrice
Quindi è davvero possibile creare una smart home sicura?
Utilizzando giudizio e cautela, si può iniziare a costruire una casa intelligente di base. A questo proposito i ricercatori di ESET consigliano di effettuare alcune verifiche prima di procedere con qualsiasi acquisto in ottica smart home:
- La verifica di potenziali vulnerabilità prima dell’acquisto dovrebbe essere un requisito obbligatorio prima di prendere una decisione. Una semplice ricerca (nome device + vulnerabilità note) darà un’indicazione se ci sono problemi noti.
- Controllare se il produttore aggiorna il firmware del dispositivo o se lo notifica all’utente tramite un’app o un’email. Controllare il sito Web del fornitore o cercare su Google le informazioni.
- Leggere attentamente l’informativa sulla privacy. Capire quali dati sono raccolti, archiviati o condivisi aiuterà a decidere se il dispositivo sarà parte della rete generale o se dovrà essere isolato. E se nessuno di questi è ritenuto sicuro, ovviamente non acquistare.
- Prestare attenzione quando si condividono dati sui social network o con i sistemi di un fornitore. Condividere la posizione, il dispositivo e il modello di utilizzo può dare ai criminali informatici abbastanza dati per truffare l’utente o iniziare un attacco mirato.
- Gli assistenti personali intelligenti controllati dalla voce sono convenienti ma sono anche… onniscienti! È buona norma, quindi ponderare le informazioni trasferite al proprio assistente e a quelle che si chiede di raccogliere per proprio conto.
- Installando delle soluzioni di sicurezza affidabili e dedicate e controllando l’accesso al router e le sue vulnerabilità con dei software specializzati.
Per accedere al white paper di ESET IoT and privacy by design in the Smart Home è possibile visitare il seguente link:
https://blog.futuretime.eu//www.welivesecurity.com/wp-content/uploads/2018/02/ESET_MWC2018_IoT_SmartHome.pdf
1 Commento