Altri accessoriInternet

Il frigorifero intelligente di Samsung potrebbero essere usato per rubare i vostri dati Gmail

La sicurezza per l’Internet delle Cose è ancora imperfetta: in un altro esempio di prodotto collegato a internet che non riesce a garantire la sicurezza, il frigorifero intelligente Samsung permette ai malintenzionati di rubare le credenziali di accesso di Gmail di un consumatore a condizione che possano ottenere l’accesso alla rete Wi-Fi dell’utente.

L’exploit è un attacco di tipo man-in-the-middle, ed è stato reso possibile perché il frigorifero intelligente Samsung consente alle persone di collegare i loro calendari di Gmail a uno schermo sulla porta del frigo in modo che possano vedere gli eventi del giorno.

samsung-frigorifero-informatblog

Si tratta di una funzione utile, ad eccezione di quando una persona accede, il frigo dice che offre la crittografia SSL, ma non riesce a verificare in realtà che il server di Google ha il giusto certificato per ottenere effettivamente i dati crittografati. E’ come se la sicurezza di un nightclub controllasse le carte d’identità per far entrare o meno i clienti, senza realmente guardare la data di nascita per verificare che siano effettivamente maggiorenni. Così chiunque sulla rete Wi-Fi del consumatore potrebbe fingere di essere il servizio di calendario di Google e rubare le credenziali Gmail di accesso del consumatore. Da lì l’hacker potrebbe causare tutti i tipi di danni.

La vulnerabilità è stata scoperta nel corso di una hackathon all’evento Defcon all’inizio di questo mese e pubblicata da The Register lunedi mattina. Pen Test Partners ha scoperto il problema e l’ha pubblicato, scrivendo anche come sistematicamente hanno cercato di attaccare il frigo.

La parte migliore del loro articolo è quella che mostra chiaramente la mentalità di qualcuno che cerca di abbattere la sicurezza di un prodotto collegato a internet. Il fallimento è solo una battuta d’arresto temporanea perché non avevano provato la password giusta o avuto abbastanza tempo in questo ambiente particolare.

Abbiamo studiato l’applicazione mobile e abbiamo trovato ciò che crediamo sia il certificato all’interno di un archivio di chiavi. Noi “crediamo” di esserci riusciti perché il modulo ha un nome che suggerisce questo. Tuttavia c’è una password e stiamo ancora cercando di trovarla per aprire l’archivio delle chiavi. Pensiamo di aver trovato la password per il certificato nel codice lato client, ma è criptato, e non l’abbiamo ancora decriptato.

La sfida qui è che i prodotti collegati vengono immessi nel mercato da produttori che non hanno necessariamente familiarità con l’importanza della sicurezza. In alcuni casi, sono legittimamente a conoscenza delle minacce, ma in altri percorrono quello che per loro è un percorso più conveniente, credendo di poter aggiungere la sicurezza in seguito. Ma non possono: La sicurezza di questi prodotti deve essere progettata da zero. Una seconda sfida è che molti fornitori si affidano a consumatori di gran lunga più esperti di loro in fatto di sicurezza.

L’industria dei dispositivi collegati a Internet deve crescere in fretta, prima che i consumatori perdano la fiducia e le autorità di regolamentazione decidano di mettersi in gioco. Oggi è una società di sicurezza che ha mostrato una vulnerabilità, ma domani potrebbe benissimo essere una squadra di hacker o un gruppo che cerca di far fallire una società. (Fonte)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti