Falla nella serratura smart: chiunque può aprire le porte a distanza



[ZEUS News - www.zeusnews.it - 26-05-2019]

falla serratura iot

C'è poco, nell'immaginario collettivo, che evochi atmosfere futuristiche più di una casa automatizzata, dove magari le banali chiavi e serrature sono sostituite da codici da digitare all'ingresso o tessere da far leggere.

Il problema è che, fantasia a parte, ogni nuovo apparecchio elettronico e informatico che entra in casa può finire col causare più problemi di quanti ne risolva: per esempio, quando vengono scoperti dei bug che vanificano le funzioni di sicurezza.

Prendiamo per esempio il lettore M3 di Anviz: si tratta di un apparecchio che offre sia un tastierino numerico che un lettore di schede con chip RFID.

Chi l'abbia installato al di fuori della propria abitazione (o del luogo di lavoro) per sbloccare la porta ed entrare non deve far altro che avvicinare l'apposita tessera, oppure inserire il codice numerico.

M3 offre una lunga serie di funzionalità, tra cui la possibilità di venire connesso a una rete TCP/IP (come una qualsiasi rete locale domestica, per esempio). Il guaio è che è stata di recente scoperta una falla che può essere sfruttata proprio quando il dispositivo è connesso alla rete e funziona in modalità standalone.

La radice del problema sta nel fatto che il protocollo di comunicazione via rete non dispone di alcun sistema di autenticazione né di crittografia: chi si connette al dispositivo può quindi inviare qualsiasi comando desideri ma anche leggere o modificare le informazioni degli utenti, dato che M3 conserva nella memoria interna quei dati.

Si può così utilizzare il comando Apri la porta ma anche accedere alla lista completa degli utenti, comprensiva di codice numerico in chiaro, e alterare sia l'elenco che la cronologia degli ingressi e delle uscite.

I dettagli sulla falla (scoperta da Marco Avidano, una vecchia conoscenza di Zeus News) indicano inoltre che è possibile agire in questo modo sia da una rete locale che da una rete pubblica, come Internet: non è insomma il caso di sottovalutare le conseguenze di un bug (che sembra più che altro essere un problema di implementazione) del genere.

Sondaggio
Cosa pensi della domotica?
Se ne parla da almeno dieci anni ma di applicazioni pratiche ne ho viste ben poche.
I prodotti disponibili sono troppo costosi, non hanno mercato.
E' il futuro ma qualcosa si vede già oggi.
Si possono ottenere dei discreti risultati senza svenarsi: basta la propensione al "fai da te" e un po' di hacking.
Prima che io finisca di rispondere a questo sondaggio... il frigorifero avrà fatto la spesa on line da solo e il forno avrà deciso la mia cena sulla base dei miei gusti e degli ingredienti che ho in casa, mentre sullo smartphone mi sarà apparsa l'immagine di un venditore di aspirapolveri che ha appena suonato al citofono. Ma ovviamente a pulire i pavimenti ci pensa il robottino.

Mostra i risultati (1393 voti)
Leggi i commenti (16)

Ipotizziamo per esempio il caso in cui M3 sia adoperato da un'azienda per sapere quando i dipendenti entrano ed escono. Senza bisogno di particolari conoscenze tecniche, chi di detti dipendenti abbia accesso alla stessa rete locale cui è collegato M3 può aprire la porta dal proprio Pc o smartphone, o magari cancellare le tracce di un ingresso di cui è bene non si abbia notizia.

Per ridurre le possibilità di attacco al momento non c'è molto da fare: ai possessori di M3 è consigliato innanzitutto di scollegare il dispositivo dalla rete.

Anviz, da parte sua, afferma di aver turato la falla nella versione superiore di M3, chiamata M3 Pro: una ben magra consolazione per chi non ha intenzione di cambiare la propria serratura "intelligente".

Anviz M3
Anviz M3

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
IoT sotto attacco: ora tocca alle vasche idromassaggio
I dispositivi IoT sono il principale target degli hacker
Anche le lavatrici oggi sono un obiettivo per i cybercriminali
Non tutti i cybercriminali sono dei geni del male
Il malware IoT sfrutta le vulnerabilità zero-day dei router domestici
Il cyberattacco attraverso la macchinetta del caffè
L'Internet delle Cose diventa un'arma: come difendersi
L'Internet delle Cose arriva in cucina

Commenti all'articolo (ultimi 5 di 7)

E io col c...o che gliela compro la serratura IoTurkeys :twisted: Leggi tutto
29-5-2019 18:51

L'IdIoT mi mancava :lol: Meriti... :ola: :ola: :ola: Leggi tutto
28-5-2019 23:30

Per me è molto più facile che gli acquirenti li mandino affanculo se non addirittura fargli causa visto che il produttore è responsabile e il prodotto difettoso :D Leggi tutto
28-5-2019 23:27

Potrebbe essere una sorta di test per utonti, allo scopo di capire quanto possano risparmiare sul piano tecnico nei prossimi prodotti. Leggi tutto
28-5-2019 23:02

Questa non è incompetenza, non possono realmente averlo fatto per sbaglio, devono averlo fatto scientemente, non possono essere così stupidi. :roll: Leggi tutto
28-5-2019 19:09

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
In Islanda, paese protestante con 320.000 abitanti tutti on line, nei mesi scorsi si è molto parlato di una legge che proibisca completamente la pornografia on line (quella stampata è già proibita) attraverso filtri centralizzati. Secondo te...
E' giusto. Anche in Italia si dovrebbe fare lo stesso.
Non è giusto, perché limita la libertà.
E' giusto, ma tanto ci sarà chi riuscirà ugualmente a scaricare materiale pornografico.
Ci sono problemi molto più importanti.
Aumenteranno ancora di più i suicidi e gli alcolizzati

Mostra i risultati (5059 voti)
Agosto 2019
Bug negli iPhone, ritorna il jailbreaking
Windows 10, errori nel patch Tuesday di agosto
Il cavo USB che permette di violare qualsiasi iPhone
Matteo Salvini condannato per violazione del diritto d'autore
Falla nelle fotocamere digitali, si rischia un'epidemia di malware
iPhone, cambiare la batteria diventa ancora più difficile
Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate
Lo smartphone senza Android di Huawei arriverà entro la fine dell'anno
Facebook cambia nome a Instagram e WhatsApp
L'85% di tutti i Bitcoin è già stato generato
La carta di credito di Apple debutta in agosto
Luglio 2019
Windows 10, arriva il ripristino via Internet
Il condizionatore portatile di Sony da indossare sotto i vestiti
5G, miti da smontare e paure pilotate
VLC, panico nel Web per una falla estremamente grave
Tutti gli Arretrati


web metrics