Non è la prima volta che metto in guardia contro la superficialità con la quale troppi produttori di elettrodomestici e altri apparati collegano a Internet qualunque cosa senza pensare alle implicazioni di sicurezza informatica: stavolta è il turno degli impianti di riscaldamento.
Dalla DEF CON di Las Vegas arriva infatti una dimostrazione dei ricercatori di sicurezza Andrew Tierney e Ken Munro, che hanno spiegato non solo come prendere il controllo di un termostato connesso a Internet ma anche come usarlo per chiedere un riscatto con la minaccia di far salire o scendere la temperatura di casa a livelli insopportabili: una forma di attacco molto simile a quella mostrata, guarda caso, poche settimane fa in una puntata di Mr. Robot.
I due ricercatori non hanno reso pubblico il nome del produttore del termostato vulnerabile, che hanno contattato privatamente in modo da consentirgli di preparare un aggiornamento correttivo, ma hanno spiegato la tecnica usata: il termostato, che usa Linux, non effettua alcun controllo sui file che gli vengono forniti tramite una scheda SD per consentire agli utenti di caricare impostazioni e sfondi. Non è difficile, quindi, convincere una vittima a caricare un file ostile, camuffandolo come un’immagine o un aggiornamento di sicurezza, prendendo così il controllo del dispositivo.
Il produttore del dispositivo preparerà l’aggiornamento, ma il vero problema sarà farlo arrivare a tutti gli utenti, che non sempre registrano il proprio dispositivo negli archivi del fabbricante e se lo fanno sono molto pigri nell’effettuare aggiornamenti, anche perché l’idea di dover aggiornare il software di un frigorifero, di un televisore o di un termostato non è ancora entrata nel sentire comune.
Nessun commento:
Posta un commento