Falla nella serratura smart: chiunque può aprire le porte a distanza



[ZEUS News - www.zeusnews.it - 26-05-2019]

falla serratura iot

C'è poco, nell'immaginario collettivo, che evochi atmosfere futuristiche più di una casa automatizzata, dove magari le banali chiavi e serrature sono sostituite da codici da digitare all'ingresso o tessere da far leggere.

Il problema è che, fantasia a parte, ogni nuovo apparecchio elettronico e informatico che entra in casa può finire col causare più problemi di quanti ne risolva: per esempio, quando vengono scoperti dei bug che vanificano le funzioni di sicurezza.

Prendiamo per esempio il lettore M3 di Anviz: si tratta di un apparecchio che offre sia un tastierino numerico che un lettore di schede con chip RFID.

Ti raccomandiamo anche:
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
Le lenti a contatto con monitor incorporato non sono più fantascienza
Scoperta la prima falla nei chip M1 di Apple
IoT sotto attacco: ora tocca alle vasche idromassaggio

Chi l'abbia installato al di fuori della propria abitazione (o del luogo di lavoro) per sbloccare la porta ed entrare non deve far altro che avvicinare l'apposita tessera, oppure inserire il codice numerico.

M3 offre una lunga serie di funzionalità, tra cui la possibilità di venire connesso a una rete TCP/IP (come una qualsiasi rete locale domestica, per esempio). Il guaio è che è stata di recente scoperta una falla che può essere sfruttata proprio quando il dispositivo è connesso alla rete e funziona in modalità standalone.

La radice del problema sta nel fatto che il protocollo di comunicazione via rete non dispone di alcun sistema di autenticazione né di crittografia: chi si connette al dispositivo può quindi inviare qualsiasi comando desideri ma anche leggere o modificare le informazioni degli utenti, dato che M3 conserva nella memoria interna quei dati.

Ti raccomandiamo anche:
I dispositivi IoT sono il principale target degli hacker
Anche le lavatrici oggi sono un obiettivo per i cybercriminali
Non tutti i cybercriminali sono dei geni del male
Il malware IoT sfrutta le vulnerabilità zero-day dei router domestici

Si può così utilizzare il comando Apri la porta ma anche accedere alla lista completa degli utenti, comprensiva di codice numerico in chiaro, e alterare sia l'elenco che la cronologia degli ingressi e delle uscite.

I dettagli sulla falla (scoperta da Marco Avidano, una vecchia conoscenza di Zeus News) indicano inoltre che è possibile agire in questo modo sia da una rete locale che da una rete pubblica, come Internet: non è insomma il caso di sottovalutare le conseguenze di un bug (che sembra più che altro essere un problema di implementazione) del genere.

Sondaggio
Cosa pensi della domotica?
Se ne parla da almeno dieci anni ma di applicazioni pratiche ne ho viste ben poche.
I prodotti disponibili sono troppo costosi, non hanno mercato.
E' il futuro ma qualcosa si vede già oggi.
Si possono ottenere dei discreti risultati senza svenarsi: basta la propensione al "fai da te" e un po' di hacking.
Prima che io finisca di rispondere a questo sondaggio... il frigorifero avrà fatto la spesa on line da solo e il forno avrà deciso la mia cena sulla base dei miei gusti e degli ingredienti che ho in casa, mentre sullo smartphone mi sarà apparsa l'immagine di un venditore di aspirapolveri che ha appena suonato al citofono. Ma ovviamente a pulire i pavimenti ci pensa il robottino.

Mostra i risultati (1649 voti)
Leggi i commenti (17)

Ipotizziamo per esempio il caso in cui M3 sia adoperato da un'azienda per sapere quando i dipendenti entrano ed escono. Senza bisogno di particolari conoscenze tecniche, chi di detti dipendenti abbia accesso alla stessa rete locale cui è collegato M3 può aprire la porta dal proprio Pc o smartphone, o magari cancellare le tracce di un ingresso di cui è bene non si abbia notizia.

Per ridurre le possibilità di attacco al momento non c'è molto da fare: ai possessori di M3 è consigliato innanzitutto di scollegare il dispositivo dalla rete.

Anviz, da parte sua, afferma di aver turato la falla nella versione superiore di M3, chiamata M3 Pro: una ben magra consolazione per chi non ha intenzione di cambiare la propria serratura "intelligente".

Anviz M3
Anviz M3

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 7)


Gladiator
E io col c...o che gliela compro la serratura IoTurkeys :twisted: Leggi tutto
29-5-2019 18:51

etabeta
L'IdIoT mi mancava :lol: Meriti... :ola: :ola: :ola: Leggi tutto
28-5-2019 23:30

etabeta
Per me è molto più facile che gli acquirenti li mandino affanculo se non addirittura fargli causa visto che il produttore è responsabile e il prodotto difettoso :D Leggi tutto
28-5-2019 23:27
ok_cian
Potrebbe essere una sorta di test per utonti, allo scopo di capire quanto possano risparmiare sul piano tecnico nei prossimi prodotti. Leggi tutto
28-5-2019 23:02

Gladiator
Questa non è incompetenza, non possono realmente averlo fatto per sbaglio, devono averlo fatto scientemente, non possono essere così stupidi. :roll: Leggi tutto
28-5-2019 19:09
Leggi gli altri 2 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è la più grande inquietudine che hai a casa e che la domotica potrebbe risolvere?
Sentirsi insicuri in casa quando si è lì da soli.
Che le persone lascino le luci accese quando non serve.
Dimenticarsi se le porte sono state chiuse a chiave o se le finestre sono state chiuse a dovere.
Familiari anziani non autosufficienti quando in casa sono soli.
Preoccuparsi della sicurezza quando siamo lontani.
Perdere tempo a girare per casa ad accendere o spegnere le luci.
Preoccuparsi che le attrezzature della cucina (per esempio il forno) siano state lasciate accese accidentalmente.
Preoccuparsi che la casa sembri vuota quando siamo lontani.
Possibili incidenti nelle zone della casa che non sono adeguatamente illuminate durante la notte.
La casa è troppo calda o troppo fredda per il dovuto comfort.

Mostra i risultati (1116 voti)
Aprile 2024
n. 3801 del 18-04-2024
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
n. 3800 del 12-04-2024
Hype e Banca Sella, disservizi a profusione
n. 3799 del 11-04-2024
Falla nei NAS D-Link, ma la patch non arriverà mai
n. 3798 del 09-04-2024
La navigazione in incognito non è in incognito
n. 3797 del 05-04-2024
Le tre stimmate della posta elettronica
n. 3796 del 03-04-2024
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
n. 3795 del 30-03-2024
Buone azioni e serrature ridicole
n. 3794 del 26-03-2024
Il piano Merlyn, ovvero la liquidazione di Tim
n. 3793 del 23-03-2024
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
n. 3792 del 21-03-2024
L'antenato di ChatGPT in un foglio Excel
n. 3791 del 19-03-2024
La valle inquietante
n. 3790 del 15-03-2024
La crisi di Tim e la divisione sindacale
n. 3789 del 12-03-2024
La fine del mondo, virtuale
n. 3788 del 08-03-2024
WhatsApp e Messenger aprono agli altri servizi di chat
n. 3787 del 06-03-2024
Permainformatica
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 20 aprile
2023
EmuOS, giochi e app retro rivivono all'interno del browser
2022
Seria falla in 7-Zip, la patch ancora non c'è
2021
Aggiornamento Windows 10, problemi di tutti i tipi
2020
Rubare i dati da un Pc sfruttando le vibrazioni delle ventole
2019
Falla in Internet Explorer, la micropatch non è di Microsoft
2018
Galaxy J2 Pro, lo smartphone di Samsung senza connessione a Internet
2017
Se la tua fotocopiatrice ti manda una mail, non aprirla con un vecchio Word
2016
Diciassettenne violentata in diretta streaming su Periscope
2015
Come accedere ai profili cancellati da Facebook
2014
La moda di ribaltare le Smart
2013
Le microbatterie che si ricaricano in pochi secondi
2012
Digitale terrestre, dal 2015 servirà un nuovo decoder
2011
Samsung risponde a Apple e nega le accuse
2010
Ubiquitous computing, l'informatica che si ispira alla biologia
2008
PayPal sconsiglia Safari: è insicuro
2007
Addio al modulo per i contatti, meglio Skype
2005
Un forum sulla banda larga in Italia
2004
Tronchetti Provera e gli stipendi d'oro
2002
Wind e Telecom Italia: le due strategie
2001
A scuola di Internet dagli hacker
Olimpo Informatico


 
web metrics