Questo articolo è disponibile anche in versione podcast audio.
Con tempismo perfetto per Halloween arriva un avviso di sicurezza per le lampadine smart di IKEA, che hanno due vulnerabilità (CVE-2022-39064 e CVE-2022-39065) sfruttabili per farle sfarfallare come se fossero infestate o provenissero da una delle case della serie Stranger Things.
Jonathan Knudsen, del Synopsys Cybersecurity Research Center, ha scoperto infatti che le lampadine Tradfri e il loro gateway o dispositivo di controllo possono essere indotte a fare un reset semplicemente mandando loro un segnale radio apposito (tecnicamente, se ci tenete a saperlo, si chiama frame Zigbee malformato).
Una volta resettate, le lampadine restano tutte accese al massimo della luminosità e l’utente non riesce più a comandarle, né con l’app né con il telecomando apposito. Per riprenderne il controllo, l’utente deve riaggiungere manualmente alla propria rete domestica ciascuna lampadina. Ma siccome non esiste un aggiornamento correttivo completo, l’aggressore può ripetere l’attacco tutte le volte che vuole, usando semplicemente un laptop e un radiotrasmettitore che costa una trentina di euro o franchi e può agire anche da un centinaio di metri di distanza.
IKEA è stata avvisata delle falle e ha messo a disposizione un aggiornamento parziale, che conviene sicuramente installare, ma la vulnerabilità in questo caso deriva dalla natura stessa del sistema di trasmissione e di comando utilizzato, chiamato Zigbee, e quindi non è completamente rimediabile.
Un attacco di questo genere non comporta fughe di dati, ma può essere comunque un fastidio notevolissimo. Se avete queste lampadine smart e vedete che sfarfallano o lampeggiano e non rispondono ai comandi, i casi sono due: o avete un vicino informaticamente dispettoso, oppure qualcuno sta cercando di comunicare con voi dal Sottosopra.
Fonte aggiuntiva: The Register.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.