Secondo le previsioni di Gartner, entro il 2020 saranno in circolazione oltre 26 miliardi di dispositivi connessi. Ma TV, webcam, frigoriferi, forni, termostati e una miriade di altri smart device diventeranno una facile preda per gli hacker. Uno studio, effettuato dalla divisione Fortify di HP, ha infatti evidenziato la presenza di un numero elevato di vulnerabilità in 10 dispositivi IoT (Internet of Things). HP non ha comunicato i nomi dei produttori, specificando solo che la maggioranza di essi sfrutta servizi cloud e tutti includono un app mobile per il controllo remoto.
I ricercatori dell’azienda statunitense hanno effettuato i test, utilizzando il servizio Fortify on Demand, che permette di individuare noti e potenziali problemi di sicurezza. Nello specifico, è stata verificata la presenza delle vulnerabilità incluse nella Top 10 dell’Open Web Application Security Project (OWASP). I risultati sono piuttosto allarmanti, in quanto un singolo bug potrebbe facilitare attacchi a catena, considerando che in una smart home possono esserci decine di dispositivi interconnessi tra loro.
Il 90% dei dispositivi esaminati colleziona varie informazioni personali (nome, indirizzo, data di nascita, email, numero della carta di credito, ecc.) che vengono trasmesse in chiaro sulla rete locale e sul cloud, mettendo quindi a rischio la privacy degli utenti. L’80% dei device non richiede l’uso di password complesse. In molti casi, sia il servizio cloud che l’app mobile funzionano con semplici stringhe di lunghezza ridotta, del tipo “1234” o “123456”. Ancora più grave il fatto che il 70% dei dispositivi non usa la crittografia per la trasmissione dei dati.
Nel 60% dei device testati sono stati riscontrati problemi di sicurezza nell’interfaccia utente, tra cui vulnerabilità che possono essere sfruttate per eseguire attacchi XSS (cross-site scripting) o per individuare facilmente le credenziali di accesso, grazie all’errata implementazione della funzionalità di reset della password. Infine, 6 dispositivi su 10 effettuano il download degli aggiornamenti in chiaro. Un malintenzionato potrebbe intercettare il file, creare una copia infetta e programmare il device per compiere diverse azioni da remoto.
HP suggerisce ai produttori di condurre test approfonditi sui loro dispositivi prima della vendita, anche perché si tratta di vulnerabilità piuttosto facili da risolvere, senza danneggiare l’esperienza d’uso degli utenti.