17/12/2019 |

I problemi di sicurezza delle serrature Smart Lock aprono le porte agli attaccanti

Il difetto di progettazione scoperto nelle serrature smart lock riporta in evidenza la questione della produzione di dispositivi che siano intelligenti ma anche sicuri

Milano, 17 dicembre 2019 – Gli esperti di F-Secure Consulting, la nuova unità di consulenza sulla cyber security di F-Secure, hanno scoperto un difetto di progettazione in una serratura intelligente (smart lock) che gli attaccanti possono utilizzare per impadronirsi facilmente del dispositivo. L’incapacità dello smart lock di ricevere aggiornamenti del firmware fa sì che il difetto non possa essere completamente risolto, e mette in evidenza le difficoltà che produttori e consumatori affrontano nel proteggere i nuovi dispositivi connessi a Internet che stanno invadendo il mercato.

KeyWe Smart Lock, un dispositivo di accesso a controllo remoto utilizzato principalmente in abitazioni private, consente agli utenti di aprire e chiudere le porte con un’app sul proprio smartphone. F-Secure Consulting ha scoperto di poter sfruttare i protocolli di comunicazione progettati in modo errato arrivando a intercettare la passphrase segreta che controlla il dispositivo di accesso mentre viene scambiata tra il dispositivo fisico e l’app mobile.

Lo smart lock ha diversi meccanismi di protezione. Sfortunatamente, il suo design rende piuttosto semplice per gli attaccanti bypassare questi meccanismi per intercettare i messaggi scambiati tra lo smart lock e l’app, lasciandolo aperto a un attacco relativamente semplice. Non c’è modo di mitigare questo difetto, quindi accedere alle case protette dallo smart lock è una scommessa già vinta per i ladri in grado di replicare questo attacco“, afferma Krzysztof Marciniak di F-Secure Consulting, un consulente di sicurezza informatica che ha contribuito a sviluppare questo attacco. “Tutto ciò che serve agli attaccanti è un po’ di know-how, un dispositivo per catturare il traffico – che può essere acquistato in molti negozi di elettronica di consumo a partire da 10 dollari – e un po’ di tempo per trovare i proprietari di queste serrature intelligenti“.

L’attacco è un’altra dimostrazione delle sfide alla sicurezza che i produttori e i consumatori devono affrontare quando i dispositivi Internet of Things (IoT) invadono il mercato. Una stima recente prevede che ci saranno 125 miliardi di dispositivi connessi a Internet entro il 2025*. Ma man mano che questi dispositivi IoT si diffondono, lo stesso faranno anche i problemi di sicurezza che si portano dietro.

Lo smart lock ha diverse funzioni di sicurezza utili, tra cui la crittografia dei dati che serve a impedire a parti non autorizzate di accedere a informazioni critiche sul sistema, come appunto la passphrase segreta. Tuttavia, F-Secure Consulting ha trovato modi relativamente semplici per aggirare le misure di sicurezza del sistema. E poiché il dispositivo non può ricevere gli aggiornamenti del firmware, il difetto sfruttato dall’attacco non può essere riparato, il che significa che i proprietari dello smart lock dovranno sostituire questa serratura intelligente o convivere con questo rischio.

Marciniak sottolinea che la sicurezza è efficace solo se implementata correttamente, il che è una considerazione che i venditori di dispositivi IoT dovrebbero tenere presente.

La sicurezza non ha una ‘taglia unica’. Deve essere personalizzata per tenere conto dell’utente, dell’ambiente, del modello di minaccia e molto altro ancora. Fare questo non è facile, ma se i venditori di dispositivi IoT immetteranno sul mercato prodotti che non possono ricevere aggiornamenti, allora è importante costruirli e progettarli affinché siano sicuri fin dall’inizio“, spiega Marciniak.

Marciniak raccomanda alle persone di considerare le implicazioni di sicurezza della connettività Internet prima di sostituire i propri dispositivi offline con le versioni online e raccomanda ai venditori di dispositivi di eseguire valutazioni di sicurezza già in fase di progettazione dei loro prodotti.

F-Secure Consulting opera in quattro continenti in 11 Paesi diversi. Fornisce servizi di sicurezza informatica su misura per soddisfare le esigenze di banche, servizi finanziari, aviazione, logistica, vendita al dettaglio, assicurazioni e altre organizzazioni che lavorano in settori altamente mirati.

Data la facilità dell’attacco e la mancanza di soluzioni di mitigazione da poter proporre agli utenti finali, F-Secure Consulting ha scelto di trattenere parti cruciali dei dettagli tecnici necessari per eseguire l’attacco. Tuttavia, su F-Secure Labs sono stati pubblicati un “advisory” e un blog post con maggiori informazioni.

Supporto e servizi aggiuntivi per i produttori di dispositivi sono disponibili presso F-Secure Consulting.

 

*Fonte: https://www.techradar.com/news/rise-of-the-internet-of-things-iot

 

F-Secure

Nessuno ha una visibilità migliore degli attacchi informatici nella vita reale di F-Secure. Stiamo chiudendo il gap tra rilevazione e risposta utilizzando l’intelligence delle minacce senza uguali di centinaia dei migliori consulenti tecnici del nostro settore, milioni di dispositivi che utilizzano il nostro software, e incessanti innovazioni nell’intelligenza artificiale. Le banche più importanti, compagnie aeree e aziende si fidano del nostro impegno a sconfiggere le minacce più potenti del mondo.  Insieme alla nostra rete di partner di canale e a oltre 200 service provider, la nostra mission è assicurarci che ognuno abbia una cyber security di livello enterprise di cui tutti abbiamo bisogno.

Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.

f-secure.it |f-secure.com| twitter.com/fsecure | facebook.com/f-secure

Seguici anche sul blog italiano: https://blog.f-secure.com/it/

e sull’account Twitter italiano: @F-Secure_IT

 

Contatti per la stampa:
Samanta Fumagalli
Resp. Ufficio Stampa
samanta.fumagalli@gmail.com
info@samantafumagalli.com
Mobile 320.9011759

Gli ultimi comunicati stampa

13/02/2020

F-Secure Countercept si aggiudica un contratto pluriennale con una società di logistica e ingegneria

Le pluripremiate funzionalità di threat hunting delle soluzioni di managed detection and response continuano a suscitare interesse

10/02/2020

F-Secure rilascia la nuova versione del suo computer tascabile sicuro

USB armory Mk II è uno dei single-board computer più piccoli al mondo, realizzato per applicazioni che richiedono l’efficienza dell’elaborazione integrata senza sacrificare la sicurezza.

30/01/2020

Carmen Palumbo nominata Country Sales Manager Italy di F-Secure

Entrata in F-Secure nel 2017 per dirigere il Marketing dell’azienda in Italia, con l’inizio del nuovo anno guiderà le vendite della multinazionale sul territorio nazionale

09/01/2020

F-Secure scopre vulnerabilità in un noto sistema di presentazione wireless

Gli esperti di sicurezza di F-Secure mettono in guardia sul fatto che i dispositivi di cui ci fidiamo ciecamente sono i bersagli preferiti degli attaccanti

%d bloggers like this: