Smart home e dispositivi IoT: sicurezza zero

Symantec ha analizzato 50 dispositivi per la smart home attualmente in vendita, scoprendo che molti device IoT offrono solo una protezione elementare contro i più diffusi attacchi effettuati online. La presenza di note vulnerabilità nei dispositivi e nelle app mobile usate per il controllo remoto ha confermato purtroppo che per i produttori la sicurezza è una caratteristica secondaria. La software house fornisce agli utenti alcuni consigli per ridurre al minimo i rischi.

Sul mercato sono già disponibili numerose soluzioni per realizzare una smart home. È possibile acquistare elettrodomestici dotati di una connessione Internet oppure trasformare un vecchio modello in un dispositivo IoT. La loro diffusione è ancora agli inizi, ma si prevede un rapido aumento delle vendite nei prossimi anni. Secondo Gartner, ci saranno 25 miliardi di “cose” connesse entro il 2020. Ciò significa che anche i cyberattacchi sono destinati a crescere in maniera esponenziale.

I ricercatori di Symantec hanno analizzato termostati, serrature, lampadine, rilevatori di fumo, hub e dispositivi per la gestione energetica. Inoltre sono stati esaminati allarmi, videocamere di sorveglianza, sistemi di intrattenimento, router e NAS. Alcuni smart device usano un servizio cloud per monitorare l’uso e consentire agli utenti di controllare da remoto questi sistemi. L’accesso può avvenire tramite app o portale web.

Symantec ha scoperto che nessuno dei dispositivi offre l’autenticazione reciproca tra client e server o consente di utilizzare password robuste (spesso viene chiesto un semplici PIN a quattro cifre). Inoltre, quasi nessun servizio cloud offre l’autenticazione in due fattori e una protezione contro attacchi brute-force. Come se non bastasse, molte interfacce web contengono vulnerabilità ben note. In poco tempo, i ricercatori sono riusciti ad aprire una serratura da remoto, senza conoscere la password.

I dispositivi IoT non sono ancora i bersagli preferiti dei cybercriminali, ma potrebbero diventarlo molto presto. I produttori dovrebbero considerare seriamente il problema della sicurezza, utilizzando ad esempio codice firmato e il protocollo SSL/TLS. Nell’attesa, gli utenti possono seguire alcuni consigli, come cambiare le password predefinite, disattivare il device quando non serve o usare una connessione wired (se possibile).