Cerca nel blog

2018/06/15

Lucchetto “smart” annuncia a tutti la propria password

Cento dollari per un lucchetto sono una bella cifra, ma quello venduto dalla Tapplock è un lucchetto speciale, perché è “smart”: contiene un processore e un sensore d’impronte digitali e si sblocca appoggiando sul sensore un dito autorizzato. Niente chiavi da perdere, nessuna combinazione da ricordare. C’è anche un’app per gestire fino a 500 impronte. Pratico, no?

Praticissimo, e specialmente per i ladri. I ricercatori della Pen Test Partners hanno scoperto infatti che le promesse di sicurezza del lucchetto erano decisamente fantasiose. Hanno scritto un’app che sblocca qualunque lucchetto smart di questa marca in due secondi.

Come hanno fatto? Hanno comprato uno di questi lucchetti e hanno analizzato il traffico Bluetooth fra il lucchetto e l’app. Per prima cosa si sono accorti che il codice di sblocco che veniva trasmesso era uguale per tutti gli utenti autorizzati di quell’esemplare di lucchetto (che già non è una bella cosa). Ma poi hanno scoperto che il codice di sblocco era derivato dal MAC address del dispositivo.


Un MAC address è l’identificativo univoco che viene assegnato a un singolo esemplare di qualunque oggetto che va connesso a una rete. Viene trasmesso necessariamente in chiaro in ogni pacchetto di dati che viene inviato dal dispositivo, e deve essere ricevibile da qualunque dispositivo in ascolto. Usarlo come base per le password è quindi un’idea stupendamente idiota.

Per fare un paragone, è l’equivalente di usare come password il proprio nome utente.

Eppure TappLock viene venduto dicendo che usa “crittografia AES a 128 bit, la stessa usata dai militari”.

L’azienda ha confermato la vulnerabilità e ha pubblicato un avviso che raccomanda sibillinamente ai propri clienti di aggiornare il firmware dei lucchetti “per avere la protezione più recente”, senza dire che la protezione attuale è un colabrodo.

Come per tanti oggetti dell’Internet delle Cose, a parte la pessima progettazione, il problema è che è molto improbabile che questi avvisi di aggiornamento raggiungano gli utenti e che, se li raggiungono, vengano ascoltati.

12 commenti:

Guido Pisano ha detto...

Dicevamo (su twitter) dell'internet delle cose? :P

blu-flame ha detto...

La S dell'acronimo IOT significa sicurezza.

Il Lupo della Luna ha detto...

"Ma tanto chi mai penserà di usare il Mac Address?" parlavamo di virgolettati :D

Nicholas Gallo ha detto...

Mi sa che non tira proprio una bella aria per questa marca..
https://youtu.be/RxM55DNS9CE
In questo video viene violato con un adesivo, per aprire il retro, e con un normale cacciavite.

Elia Berti ha detto...

Non solo: per aprirlo basta svitare il tappo sul retro e togliere qualche vite!
https://youtu.be/RxM55DNS9CE (a 3:33)

pgc ha detto...

Paolo: "Come per tanti oggetti dell’Internet delle Cose, a parte la pessima progettazione, il problema è che è molto improbabile che questi avvisi di aggiornamento raggiungano gli utenti e che, se li raggiungono, vengano ascoltati."

Non capisco la logica di questo argomento: il problema *è* la pessima progettazione. Se non fosse per questo motivo gli avvisi di aggiornamento non sarebbero necessari. E' la tendenza a cercare scorciatoie che frega molti sistemi di sicurezza.

L'internet delle cose ha un grandissimo potenziale anche se viene spesso usato in modi discutibili, come avviene spesso con le nuove tecnologie ("vediamo che succede se...").

Il problema è comunque che ci sono troppe aziende che progettano male. Ma è vero anche con prodotti vecchio stile. Pensa agli antifurto di una volta, ai lucchetti, alle serrature. Ho visto aprire la mia porta di casa (blindata) con il classico trucco del foglio di plexiglass in meno di 30 secondi, una volta che avevo lasciato le chiavi dentro.



Il Lupo della Luna ha detto...

In linea di principio se voglio aprire un lucchetto e non ho la chiave lo rompo... IOT o no.

ST ha detto...

Dite amici ed entrate.

cyberninja ha detto...

@Attivissimo
[quote]a parte la pessima progettazione, il problema è che è molto improbabile che questi avvisi di aggiornamento raggiungano gli utenti e che, se li raggiungono, vengano ascoltati. [/quote]

E' così che funziona la selezione naturale. :P

Berto ha detto...

Da come si apre svitando il tappo posteriore più che S-IOT è ID-IOT (ID ovviamente corrisponde alla password ^_^)

Unknown ha detto...

@pgc: se il trucchetto del foglio di plexyglass funziona non è colpa della serratura ma della mancanza del profilo di blocco sul telaio della porta. Questo profilo crea uno scalino che blocca l'inserimento del foglio in prossimità del bordo.

alberto cz ha detto...

E comunque basta un cacciavite per aprirlo! :-)

https://www.theregister.co.uk/2018/06/15/taplock_broken_screwdriver/