casa smart

Casa non così smart

I nostri esperti di GReAT hanno scoperto una pericolosa vulnerabilità in un’app di controllo per la casa smart che consentiva agli utenti malintenzionati di disabilitare i sistemi di protezione fisica

GReAT
3 Giu 2025

Le case smart oggi non assomigliano per niente alla fantascienza dei film di fine anni ’90. Sono una realtà per quasi tutti coloro che vivono in una grande città. Sarebbe difficile trovare un appartamento moderno senza prese elettriche, altoparlanti o TV smart. Nelle nuove costruzioni a volte si vedono case già progettate come case smart, ovvero interi complessi residenziali smart. I residenti possono gestire non solo i dispositivi interni all’appartamento, ma anche i sistemi esterni come citofoni, telecamere, cancelli, contatori di utenze e allarmi antincendio, il tutto tramite un’unica app.

Ma cosa succede se si verifica una falla di sicurezza in un’app del genere? I nostri esperti del Global Research and Analysis Team (GReAT) conoscono la risposta. Hanno scoperto una vulnerabilità nell’app Rubetek Home ed esplorato i potenziali rischi per la sicurezza, che, per fortuna, non si sono concretizzati.

In cosa consisteva la vulnerabilità

Questa vulnerabilità era dovuta all’invio da parte dell’app di dati sensibili durante il processo di registrazione. Gli sviluppatori hanno utilizzato l’API Telegram Bot per raccogliere dati analitici e inviare file di informazioni di debug dagli utenti a una chat privata del team di sviluppo tramite un bot Telegram.

Il problema era che questi file, oltre alle informazioni di sistema, contenevano i dati personali degli utenti e, soprattutto, i token di aggiornamento necessari per autorizzare l’accesso all’account dell’utente. I potenziali autori degli attacchi avrebbero potuto inoltrare a se stessi tutti questi file utilizzando lo stesso bot Telegram. A tale scopo, potevano ottenere il token Telegram e l’ID chat dal codice dell’app, quindi scorrere il numero sequenziale dei messaggi contenenti i file.

Di recente, la registrazione degli eventi tramite Telegram è diventata sempre più popolare. È comodo e veloce ricevere notifiche importanti negli strumenti di messaggistica. Questo approccio richiede tuttavia cautela: è consigliabile non inoltrare i dati sensibili nei registri dell’applicazione e, inoltre, vietare la copia e l’inoltro di contenuto del gruppo nelle impostazioni Telegram o utilizzare il parametro protect_content quando si invia un messaggio tramite un bot Telegram.

Nota importante: abbiamo contattato Rubetek immediatamente dopo aver scoperto la vulnerabilità. Al momento della stesura di questo post, il problema era stato risolto.

I potenziali autori degli attacchi avrebbero potuto ottenere l’accesso ai dati che tutte le app dell’utente stavano inviando allo sviluppatore. L’elenco di questi dati è sbalorditivo:

Nome completo, indirizzo e-mail o numero di cellulare e indirizzo della struttura collegata all’app
Elenco dei dispositivi collegati al sistema casa smart
Informazioni sugli eventi registrati dai dispositivi smart, ad esempio se erano attivati o disattivati in casa o se tutti i suoni sospetti sono stati captati dalle telecamere
Informazioni di sistema sui dispositivi all’interno della rete domestica locale: indirizzo MAC, indirizzo IP e tipo di dispositivo
Indirizzi IP per la connessione alle telecamere tramite il protocollo WebRTC
Istantanee da telecamere e citofoni smart
La chat dell’utente con un modulo di assistenza
Token che consentono di avviare una nuova sessione con l’account dell’utente

Gli utenti delle app Android e iOS erano a rischio.

Cosa succede se gli utenti malintenzionati ottengono effettivamente il controllo della tua casa smart?

Questa vasta gamma di dati avrebbe potuto consentire una sorveglianza completa, consentendo di sapere chi vive dove e in quali giorni non è presente. I criminali avrebbero potuto apprendere gli orari di chiunque e, durante quelle ore vuote, entrare in qualsiasi appartamento dopo aver disabilitato a distanza le telecamere e altri sistemi di sicurezza tramite l’app.

Sebbene un’irruzione così palese sarebbe stata sicuramente notata, esistono possibilità più discrete. Ad esempio, sfruttando la vulnerabilità, gli autori dell’attacco avrebbero potuto modificare in remoto i colori delle lampadine smart e la temperatura del pavimento, accendendo e spegnendo le luci all’infinito, causando una notevole perdita finanziaria per i proprietari di casa.

La cosa ancora più inquietante era la possibilità per un utente malintenzionato di prendere di mira non solo un appartamento o una casa, ma migliaia di residenti in un intero complesso. Naturalmente, la disattivazione simultanea dei sistemi di controllo accessi non sarebbe passata inosservata dalla direzione dell’edificio, ma in quanto tempo avrebbero capito cosa stava succedendo e i danni a carico dei residenti?

Come proteggere la casa smart

Tieni presente che il tipo di vulnerabilità in discussione potrebbe essere presente anche in altre app per la casa smart. Essendo uno dei milioni di clienti, non hai praticamente modo di sapere se un’app è stata compromessa. Pertanto, se si nota anche il minimo tipo di attività sospetta, ad esempio nuove persone nell’elenco degli invitati, apertura e chiusura non autorizzate di cancelli e porte e così via, è consigliabile contattare l’amministratore o il fornitore dell’app il prima possibile.

In uno scenario più comune, come l’utilizzo dei dispositivi smart all’interno del proprio appartamento senza alcun amministratore di rete a cui rivolgersi, è consigliabile seguire queste regole:

Proteggi il router Wi-Fi modificando la password predefinita con una più complessa, disabilita WPS e abilita il criptaggio WPA2.
Crea una rete Wi-Fi dedicata per i dispositivi per la casa smart e imposta una password diversa per tale rete. I router moderni supportano le reti ospite, quindi se, ad esempio, un supporto smart viene hackerato, i criminali non avranno accesso ai computer o agli smartphone dell’utente.
Utilizza l’app Kaspersky Premium per controllare periodicamente la rete alla ricerca di dispositivi non autorizzati. Se tutto va bene, Monitor Smart Home mostrerà solo le informazioni sui dispositivi.
Imposta password complesse per ogni dispositivo. Non è necessario memorizzarle: le gestisce Kaspersky Password Manager.
Aggiorna regolarmente il firmware di tutti i dispositivi smart, incluso il router.

Dai un’occhiata a questi collegamenti per esplorare altri potenziali rischi di una casa smart hackerata e modi per proteggere la tua proprietà.

Come proteggere la casa smart

La sicurezza delle telecamere IP: il brutto, il cattivo e… il malvagio

Casa smart… dolce casa

TV, smartphone e altoparlanti smart ti stanno intercettando?

Vulnerabilità dei dispenser smart per animali domestici

AirBorne: attacchi ai dispositivi Apple tramite vulnerabilità in AirPlay

Le vulnerabilità scoperte di recente in AirPlay consentono attacchi ai dispositivi Apple e ad altri prodotti compatibili con AirPlay tramite Wi-Fi, inclusi gli exploit zero-click.

Privacy e bambini

Casa non così smart

In cosa consisteva la vulnerabilità

Cosa succede se gli utenti malintenzionati ottengono effettivamente il controllo della tua casa smart?

Come proteggere la casa smart

È necessario disabilitare Microsoft Recall nel 2025?

Come creare una password impossibile da dimenticare

AirBorne: attacchi ai dispositivi Apple tramite vulnerabilità in AirPlay

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia