Falla nella serratura smart: chiunque può aprire le porte a distanza



[ZEUS News - www.zeusnews.it - 26-05-2019]

falla serratura iot

C'è poco, nell'immaginario collettivo, che evochi atmosfere futuristiche più di una casa automatizzata, dove magari le banali chiavi e serrature sono sostituite da codici da digitare all'ingresso o tessere da far leggere.

Il problema è che, fantasia a parte, ogni nuovo apparecchio elettronico e informatico che entra in casa può finire col causare più problemi di quanti ne risolva: per esempio, quando vengono scoperti dei bug che vanificano le funzioni di sicurezza.

Prendiamo per esempio il lettore M3 di Anviz: si tratta di un apparecchio che offre sia un tastierino numerico che un lettore di schede con chip RFID.

Chi l'abbia installato al di fuori della propria abitazione (o del luogo di lavoro) per sbloccare la porta ed entrare non deve far altro che avvicinare l'apposita tessera, oppure inserire il codice numerico.

M3 offre una lunga serie di funzionalità, tra cui la possibilità di venire connesso a una rete TCP/IP (come una qualsiasi rete locale domestica, per esempio). Il guaio è che è stata di recente scoperta una falla che può essere sfruttata proprio quando il dispositivo è connesso alla rete e funziona in modalità standalone.

La radice del problema sta nel fatto che il protocollo di comunicazione via rete non dispone di alcun sistema di autenticazione né di crittografia: chi si connette al dispositivo può quindi inviare qualsiasi comando desideri ma anche leggere o modificare le informazioni degli utenti, dato che M3 conserva nella memoria interna quei dati.

Si può così utilizzare il comando Apri la porta ma anche accedere alla lista completa degli utenti, comprensiva di codice numerico in chiaro, e alterare sia l'elenco che la cronologia degli ingressi e delle uscite.

I dettagli sulla falla (scoperta da Marco Avidano, una vecchia conoscenza di Zeus News) indicano inoltre che è possibile agire in questo modo sia da una rete locale che da una rete pubblica, come Internet: non è insomma il caso di sottovalutare le conseguenze di un bug (che sembra più che altro essere un problema di implementazione) del genere.

Sondaggio
Cosa pensi della domotica?
Se ne parla da almeno dieci anni ma di applicazioni pratiche ne ho viste ben poche.
I prodotti disponibili sono troppo costosi, non hanno mercato.
E' il futuro ma qualcosa si vede già oggi.
Si possono ottenere dei discreti risultati senza svenarsi: basta la propensione al "fai da te" e un po' di hacking.
Prima che io finisca di rispondere a questo sondaggio... il frigorifero avrà fatto la spesa on line da solo e il forno avrà deciso la mia cena sulla base dei miei gusti e degli ingredienti che ho in casa, mentre sullo smartphone mi sarà apparsa l'immagine di un venditore di aspirapolveri che ha appena suonato al citofono. Ma ovviamente a pulire i pavimenti ci pensa il robottino.

Mostra i risultati (1390 voti)
Leggi i commenti (16)

Ipotizziamo per esempio il caso in cui M3 sia adoperato da un'azienda per sapere quando i dipendenti entrano ed escono. Senza bisogno di particolari conoscenze tecniche, chi di detti dipendenti abbia accesso alla stessa rete locale cui è collegato M3 può aprire la porta dal proprio Pc o smartphone, o magari cancellare le tracce di un ingresso di cui è bene non si abbia notizia.

Per ridurre le possibilità di attacco al momento non c'è molto da fare: ai possessori di M3 è consigliato innanzitutto di scollegare il dispositivo dalla rete.

Anviz, da parte sua, afferma di aver turato la falla nella versione superiore di M3, chiamata M3 Pro: una ben magra consolazione per chi non ha intenzione di cambiare la propria serratura "intelligente".

Anviz M3
Anviz M3

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
IoT sotto attacco: ora tocca alle vasche idromassaggio
I dispositivi IoT sono il principale target degli hacker
Anche le lavatrici oggi sono un obiettivo per i cybercriminali
Non tutti i cybercriminali sono dei geni del male
Il malware IoT sfrutta le vulnerabilità zero-day dei router domestici
Il cyberattacco attraverso la macchinetta del caffè
L'Internet delle Cose diventa un'arma: come difendersi
L'Internet delle Cose arriva in cucina

Commenti all'articolo (ultimi 5 di 7)

E io col c...o che gliela compro la serratura IoTurkeys :twisted: Leggi tutto
29-5-2019 18:51

L'IdIoT mi mancava :lol: Meriti... :ola: :ola: :ola: Leggi tutto
28-5-2019 23:30

Per me è molto più facile che gli acquirenti li mandino affanculo se non addirittura fargli causa visto che il produttore è responsabile e il prodotto difettoso :D Leggi tutto
28-5-2019 23:27

Potrebbe essere una sorta di test per utonti, allo scopo di capire quanto possano risparmiare sul piano tecnico nei prossimi prodotti. Leggi tutto
28-5-2019 23:02

Questa non è incompetenza, non possono realmente averlo fatto per sbaglio, devono averlo fatto scientemente, non possono essere così stupidi. :roll: Leggi tutto
28-5-2019 19:09

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Vuoi scaricare la canzone 'Yesterday' dei Beatles; esistono varie opzioni su Internet. Quale file scarichi tra i seguenti?
Yesterday-Beatles-Song.scr
Beatles_All_songs.zip
Beatles_Yesterday.mp3.exe
Betles-Yesturday.wma

Mostra i risultati (1336 voti)
Giugno 2019
Fusione TIM e Open Fiber, un'operazione senza alternative
Apple richiama i MacBook Pro: rischiano di prendere fuoco
Falla zero-day in Firefox, gli hacker la stanno già sfruttando
Libra, la criptovaluta di Facebook, ufficialmente al via con il wallet Calibra
Se anche Sky usa i sottotitoli pirata
Il CERN lascia Microsoft e passa all'open source
VLC, corrette 33 falle grazie alle ricompense UE
EmuParadise violato, rubati i dati di 1,1 milioni di utenti
Google cambia la ricerca: i siti non appariranno più di due volte
Google Maps, arriva il tachimetro in tempo reale
La visione di Microsoft per un sistema operativo davvero moderno
Microsoft implora gli utenti: installate la patch prima di un altro WannaCry
Il malware che sfugge a ogni individuazione
Maggio 2019
Windows 10, l'aggiornamento di maggio fa cadere la connessione Wi-Fi
Huawei, microSD addio: l'azienda è stata esclusa dalla SD Association
Tutti gli Arretrati


web metrics