Un piccolo sex toy che dà grossi problemi

14 Gen 2019

Werner Schober è un ricercatore di SEC Consult e studente in Austria presso l’Università di scienze applicate. Al suo quinto anno di studi, si è imbattuto in un problema che molti di noi hanno dovuto affrontare: scegliere l’argomento della sua tesi.

Ha generato una nuvola di etichette con le parole degli argomenti di tesi scelti dai suoi compagni di studi e si trattava praticamente di argomenti alla moda nel mondo IT moderno: bitcoin, GDPR, cloud etc. Eppure, non si sa per quale ragione, non compariva l’Internet delle Cose (IoT) tra gli argomenti più in voga. E allora non ci ha pensato due volte, soprattutto perché, grazie al suo lavoro presso SEC Consult aveva acquisito un po’ di esperienza nel campo dei cosiddetti “penetration test” (ovvero, la capacità di hackerare dispositivi e reti grazie all’individuazione di vulnerabilità): il mondo IoT sarebbe stato al centro della sua tesi.

Werner sapeva bene che si trattava di un campo piuttosto vasto, che coinvolgeva oggetti di ogni tipo, da semafori a pacemaker passando per le teiere intelligenti. Bisognava restringere il campo, ma le infrastrutture critiche importanti per la società come possono essere i semafori o i pacemaker erano già stati analizzati a fondo e da ricercatori diversi. Per non parlare del mondo smart home con le sue teiere e le lampadine intelligenti, un argomento trito e ritrito (e comunque non ci sono vulnerabilità critiche che valga la pena analizzare). In fondo, cosa potrebbe succedere se il nostro tagliaerba venisse coinvolto in un attacco DDoS? Che al nostro ritorno troveremmo l’erba già bella tagliata.

Werner ha quindi optato per una sottocategoria finora non ampliamente analizzata (esistono degli studi, sappiamo che gli hacker amano tutto ciò che è proibito) e dove le vulnerabilità informatiche possono avere delle conseguenze importanti e reali: i sex toy intelligenti.

Werner ha testato tre dispositivi, due di produzione cinese e uno tedesco. Indovinate quale conteneva maggiori vulnerabilità? Spoiler: l’ultimo, e quante poi! Le vulnerabilità erano così tante e così gravi che Werner ha deciso di mettere da parte i dispositivi cinesi per focalizzare l’intera tesi sul prodotto di origine tedesca. E ha raccontato ciò che ha scoperto alla 35esima edizione del Chaos Communication Congress (35C3).

Il dispositivo tedesco si chiama Vibratissimo PantyBuster e si collega via Bluetooth a uno smartphone Android o iOS per poter essere gestito mediante una speciale app, in locale o in remoto, da un altro smartphone. In ogni caso, ci sono tante altre funzionalità, tra cui un vero e proprio social network con chat di gruppo (ebbene sì!), gallerie foto (!!), elenchi di amici (!!!) etc etc.

Il software: ovvero come conoscere gli utenti del sex toy

Iniziamo ad analizzare le vulnerabilità del software. È stato scoperto che la root directory del sito di Vibratissimo contiene un file .DS_Store, ovvero un elenco di tutte le cartelle e di tutti i file presenti in questa directory e in più una serie di impostazioni che macOS crea per mostrare correttamente le icone dei file e il loro layout. Werner è riuscito a decifrare questo file, scoprendo quinti i nomi di tutte le cartelle e dei file nella root directory.

Ha suscitato particolare interesse la cartella Config, che conteneva un file omonimo con credenziali di accesso non cifrate per l’accesso al database. Werner ha trovato un’interfaccia per collegarsi al database, inserire le credenziali e ad avere accesso ai dati di tutti gli utenti di Vibratissimo, compresi username e password (anche in questo caso immagazzinati senza cifratura), chat, immagini e video. Immaginate quale sia il tono delle chat di un social network creato per un sex toy, sicuramente saranno messaggi molto privati.

Altro problema: quando si crea una galleria di immagini all’interno della app, viene assegnato un ID e, per visualizzare la galleria, l’app invia una richiesta che comprende anche questo ID. A scopo di prova, Werner ha creato una galleria con due foto di gattini, ha ottenuto l’ID e poi ha pensato: cosa succederebbe se venisse modificato leggermente l’ID nella richiesta, ad esempio togliendo una cifra? Ebbene sì, si ottiene l’accesso alla galleria di un altro utente (e in questo caso Werner non ha trovato foto di gattini).

Inoltre, l’app consente agli utenti di creare un link di controllo per accendere il dispositivo da remoto, link che può condividere con altre persone (pensate, ad esempio, alle relazioni a distanza). Non è richiesta la conferma per l’uso del link, il dispositivo si accende immediatamente; il link comprende anche un ID e indovinate se anche in questo caso lo modifichiamo leggermente? Esatto, si accende il dispositivo di qualcun altro, da qualche altra parte.

E il peggio è che, nella fase di autenticazione per collegarsi via smartphone, l’app invia una richiesta al server con unsername e password non cifrate e visibili a tutti, il che vuol dire che chiunque su una rete pubblica potrebbe intercettarli… Diciamo che la sicurezza non è stata considerata una priorità. Werner ha riscontrato altre vulnerabilità anche a livello di software ma non così importanti come quelle appena descritte; e poi tante altri problemi nella comunicazione tra dispositivi e a livello di hardware.

L’interfaccia: ovvero come collegarsi con perfetti sconosciuti

Come abbiamo detto all’inizio, Vibratissimo PantyBuster si connette allo smartphone via Bluetooth; in particolare utilizza Bluetooth Low Energy che consente di stabilire la connessione tra i dispositivi in cinque modi diversi con una passkey. La passkey digitata sullo smartphone può essere scritta sul dispositivo, può essere mostrata sullo schermo o la si può conoscere previamente (del tipo 0 o 1234). Inoltre, i dispositivi possono scambiarsi la passkey via NFC oppure non è necessaria nessuna azione di verifica di “accoppiamento” con un dispositivo specifico.

PantyBuster non ha schermo e non è abilitato alla connessione NFC, per cui queste due opzioni sono da scartare. Due delle alternative rimaste sono più o meno sicure (più o meno) ma i creatori del dispositivo hanno dato priorità alla semplicità per cui hanno optato per l’alternativa meno sicura in assoluto, ovvero senza verifica. Ciò vuol dire che se qualcuno conosce il comando di attivazione del dispositivo e lo invia, tutti i PantyBuster nelle vicinanze vibreranno contemporaneamente. Insomma, una persona può attivare l’app in metropolitana (è solo un esempio) e fare una “gradita sorpresa” al proprietario o proprietaria del vibratore che si è portato con sé il dispositivo.

Werner ha poi scritto un semplice programma che ricerca i dispositivi con Bluetooth LE, ha verificato se c’erano sex toy attivi nelle vicinanze e, in caso positivo, li ha accesi e a piena potenza. Nel caso ve lo stiate chiedendo, azioni di questo tipo non vengono considerate violenza sessuale secondo la legge austriaca, ma la legge sì che comprende un paragrafo riguardo “comportamenti sessuali non desiderati” e in altri paesi ci saranno sicuramente indicazioni simili.

Nei meandri dell’hardware 

Innanzitutto, non esiste un’opzione per aggiornare il firmware; in altre parole, solo la casa produttrice può farlo, non l’utente. Dopo essere stati informati della ricerca di Werner, la casa produttrice ha suggerito agli utenti di restituire i dispositivi per procedere con l’aggiornamento, dopo il quale sarebbero stati rispediti a casa. Tuttavia, è improbabile che in molti decidano di inviare il proprio sex toy usato per risolvere questo problema.

In secondo luogo, se si apre il dispositivo, è possibile trovare le interfacce usate dalla casa produttrice per il debugging e che poi si è dimenticata di chiudere. Queste interfacce possono essere usate per estrarre e analizzare il firmware del dispositivo.

I problemi con l’Internet delle Cose sono appena cominciati

Durante il suo intervento di mezz’ora, Werner ha messo sul tavolo molti problemi ma ha offerto poche soluzioni, perché praticamente non ce ne sono. Werner ha contattato la casa produttrice e insieme hanno risolto la maggior parte dei problemi nella app e nei nuovi dispositivi. Tuttavia, tutti i problemi individuati a livello di hardware nei dispositivi già venduti, resteranno lì dove sono.

Non ci resta che ripetere il consiglio che diamo praticamente ogni volta che parliamo di dispositivi intelligenti. Prima dell’acquisto, fate un giro online per capire se già sono stati riscontrati problemi di sicurezza e riflettete seriamente sull’effettiva necessità di acquistare un dispositivo smart. Forse la versione standard dell’oggetti può esservi utile comunque, senza dover ricorrere necessariamente a Internet o al controllo via app. Più economico e più sicuro.