Uno dei problemi dei dispositivi smart home è che potrebbero essere violati e ciò è quanto hanno provato a fare Chase Dardaman e Jason Wheeler con una delle serrature intelligenti di Zipato.

I due ricercatori, infatti, hanno rilevato tre difetti di sicurezza che, se coordinati tra loro, potrebbero essere sfruttati per aprire una porta principale con una serratura smart.

I dispositivi smart home in alcuni Paesi sono divenuti sempre più comuni nelle serrature delle porte delle abitazioni anche se, a detta degli esperti di sicurezza, l’aggiunta di una connessione Internet rischia di aumentare le possibilità di essere oggetto ad un attacco, rendendo così tali device meno sicuri rispetto alle controparti tradizionali.

Dardaman e Wheeler hanno iniziato a studiare ZipaMicro, un famoso hub per smart home sviluppato dalla società croata Zipato, alcuni mesi fa ma hanno pubblicato le loro scoperte solo dopo aver risolto i problemi trovati.

I ricercatori hanno scoperto che potevano estrarre la chiave SSH privata dell’hub per “root” dalla scheda di memoria sul dispositivo (ossia chiunque con la chiave privata potrebbe accedere a un dispositivo senza bisogno di una password).

In seguito hanno scoperto che la chiave SSH privata era con codifica fissa in ogni hub venduto ai clienti, mettendo così a rischio tutte le case con installato quel dispositivo.

Usando quella chiave privata, i ricercatori hanno scaricato un file dal dispositivo contenente le password codificate utilizzate per accedere all’hub, scoprendo che il device utilizza un sistema di autenticazione “pass-the-hash”, che non richiede la conoscenza della password in chiaro dell’utente, ma solo della versione codificata. In pratica, con la password criptata un hacker potrebbe ingannare il dispositivo facendogli credere di essere il padrone di casa.

Tuttavia, per sfruttare i difetti, un malintenzionato dovrebbe trovarsi sulla stessa rete Wi-Fi dello smart hub vulnerabile.

Il team di Zipato ha risolto le vulnerabilità nel giro di poche settimane da quando i ricercatori hanno reso noto il problema ed ora ogni hub intelligente dispone di una chiave SSH privata e di altri miglioramenti di sicurezza.

Vai a: approfittate della Smart Home Week di MediaWorld