Come hackerare una casa intelligente

25 Lug 2019

Le tecnologie per la domotica sono progettate per renderci la vita più facile e comoda. Tuttavia, a volte una maggiore comodità può portare a maggiori problemi. In questo blog parliamo spesso dei pericoli di automatizzare praticamente di tutto; per cominciare, collegare gli apparati domestici a Internet ci rende dipendenti dalla qualità della connessione e dall’operatività dei server. Allo stesso tempo, i cybercriminali possono sfruttare questi punti di entrata per prendere il controllo di dispositivi vulnerabili e utilizzarli a proprio vantaggio.

Un recente studio ha dimostrato che esistono diversi metodi per prendere il controllo di una “casa intelligente”. Un punto debole, ad esempio, potrebbe essere una vulnerabilità nel server su cloud, attraverso il quale il proprietario controlla la casa da remoto o, strano ma vero, anche un componente apparentemente innocuo come un interruttore intelligente.

Fibaro: minaccia su cloud

Come già abbiamo dimostrato, il sistema di domotica Fibaro consentiva a chiunque di caricare e scaricare i dati di backup dello smart hub, da e verso il server cloud. Lo smart hub è il dispositivo più importante in una casa intelligente dal momento che si occupa di gestire tutto: dai termostati alla caffettiera, passando per i sistemi di sicurezza etc.

I dati di backup dello smart hub contengono informazioni molto interessanti sulla casa e sul proprietario, tra cui l’ubicazione dell’appartamento e dello smartphone del proprietario, l’indirizzo e-mail con il quale è stato registrato l’account del padrone di casa sul sistema Fibaro e l’elenco dei dispositivi connessi e le password di ognuno di essi (tutti dati non cifrati e in plain text).

Nel backup si trovava anche la password del pannello dell’amministratore per il controllo da remoto della casa. A differenza delle altre, almeno questa password era protetta o, per essere più precisi, era protetta da hash. In ogni caso, se il cybercriminale avesse scaricato tutte le copie di backup custodite sul cloud di Fibaro, avrebbe potuto risalire facilmente alle password più semplici e utilizzate più di frequente (tipo “password1”) e gli hash sarebbero stati gli stessi.

Una volta entrato nel pannello dell’amministratore, un cybercriminale probabilmente sfrutterebbe una delle vulnerabilità per eseguire il codice da remoto e ottenere i permessi di root per fare qualsiasi cosa all’interno della casa. Ironia della sorte, il proprietario della casa non detiene i permessi di root, la casa produttrice ha deciso che sarebbe stato più sicuro in questo modo (e sotto certi punti di vista è vero).

Fibaro: aggiornamento dannoso

Un altro scenario di attacco scoperto dai ricercatori di Kaspersky non richiede di craccare nessuna password. Come già menzionato, le copie di backup non potevano essere scaricate dal server Fibaro senza un’autorizzazione, anche se sì che poteva essere caricata. Inoltre, il cloud consentiva l’invio di messaggi di testo ed e-mail al proprietario.

In altre parole, i cybercriminali non dovevano fare altro che creare una copia di backup dannosa, caricarla sul server e convincere la vittima a installare l'”aggiornamento”. Per fare ciò, creavano un messaggio che sembrava provenire da Fibaro (il classico phishing). Anche se il cybercriminale avesse trascurato qualche dettaglio, c’era la buona probabilità che la vittima ignara scaricasse comunque il backup dannoso (concedendo al cybercriminale, come nel primo caso, i permessi di root). Dopotutto, il messaggio proveniva da ******@fibaro.com, che non desta sospetti.

Abbiamo informato Fibaro delle vulnerabilità, che sono state prontamente risolte, per cui si tratta di attacchi che non possono più essere realizzati. Speriamo che altre case produttrici di sistemi di domotica decidano di evitare situazioni simili, prendendo in considerazione questi errori durante la fase di sviluppo dei loro sistemi.

Nest: l’interruttore e la telecamera intelligente

Un altro studio condotto da ricercatori statunitensi pressi il College of William & Mary, ha analizzato la sicurezza di due piattaforme per smart home: Nest (di Nest Labs, di proprietà di Google) e Hue (prodotta dalla Philips). Entrambe le piattaforme erano vulnerabili, ognuna in un modo diverso.

Gli sviluppatori di Nest Labs si sono preoccupati molto della protezione dei sistemi di sicurezza: app e dispositivi di terze parti non possono modificare le impostazioni delle telecamere di sicurezza e di altre componenti responsabili della sicurezza della casa, né attivarli o disattivarli. In realtà, per meglio dire, non è possibile farlo in modo diretto.

In ogni caso, il sistema utilizza alcuni status (attributi) comuni a sistemi e dispositivi di sicurezza molto poco protetti. I valori di tali attributi sono custoditi in un unico spazio accessibile da tutti i dispositivi che ne hanno bisogno per funzionare. Inoltre, altri dispositivi di minore importanza come gli interruttori delle luci e i termostati in molti casi non solo sono in grado di leggere i valori richiesti ma anche di modificarli.

Da un lato, ciò aiuta ad automatizzare e a semplificare le operazioni di routine. Ad esempio, quando si va via di casa la mattina non c’è bisogno di impartire i comandi separatamente su ogni dispositivo. Ad esempio, l’app che controlla gli interruttori della luce sfrutta la geolocalizzazione per capire che il proprietario già si trova lontano da casa e trasmette l’informazione e assegna il valore A casa, che specifica se il padrone di casa si trova o meno nell’appartamento.

Questo valore viene letto non solo dall’interruttore (in questo modo, può spegnere le luci) ma anche dagli altri dispositivi, i quali compiono le operazioni programmate: l’aria condizionata diminuisce di intensità, il sistema di filodiffusione si spegne e le telecamere di sorveglianza iniziano a registrare. Se il sistema determina che il proprietario di casa è rientrato, le telecamere si spengono e diminuisce il livello di protezione della casa.

Esistono vari dispositivi compatibili con Nest e che hanno il permesso di gestire le modalità A casa/Fuori casa. I ricercatori hanno deciso di testare la sicurezza dell’interruttore Kasa di TP-Link. Oltre alla capacità di leggere e gestire le impostazioni A casa/fuori casa di cui abbiamo parlato, la scelta è stata influenzata dalla popolarità della app Kasa Smart per controllare il dispositivo da remoto (oltre un milione di download su Google Play). A uno sguardo più attento è emerso che il programma consente ai cybercriminali di hackerare la connessione con il server e inviargli comandi.

Il problema è stato individuato nella procedura di autorizzazione, soprattutto nell’approccio alla sicurezza degli sviluppatori della app. Per evitare che le informazioni dell’account del proprietario vadano a finire nelle mani sbagliate, l’app e il server stabiliscono una connessione cifrata. Per fare ciò, la app invia una richiesta al server che mostra un certificato SSL che conferma l’affidabilità del server.

La app verifica l’autenticità del certificato e, se è tutto a posto, invia in segreto un token al server (i dati che servono per identificare il proprietario). Ma se c’è qualche errore in questa verifica, la app Kasa dà il consenso a qualsiasi certificato.

I ricercatori hanno descritto un possibile scenario di attacco:

  1. I cybercriminali rintracciano il proprietario della casa e attendono che si colleghi a una rete Wi-Fi pubblica (in un bar, ad esempio);
  2. La app Kasa prova a collegarsi al server;
  3. I cybercriminali entrano nella stessa rete pubblica per intercettare la connessione e mostrare alla app il proprio certificato SSL;
  4. La app, pensando che si tratti del server, invia il token richiesto per l’autenticazione;
  5. I cybercriminali mostrano il token al server reale, che crede di comunicare con la app;
  6. L’hacker manda il segnale all’interruttore, direttamente dal bar, che il proprietario è rientrato in casa;
  7. Viene cambiato lo status da Fuori casa a A casa;
  8. Obiettivo raggiunto: la telecamera riceve i comandi dovuti e smette di registrare. I cybercriminali o i loro complici possono entrare in casa senza essere vigilati.

Secondo i ricercatori, l’aspetto più preoccupante è che un attacco di questo tipo non richiederebbe abilità particolari. La buona notizia è che gli sviluppatori di Kasa, come i creatori del sistema Fibaro, hanno risolto prontamente il bug dopo essere stati informati dal team di ricerca.

Nest: quando ci si preoccupa di più della maggioranza

In teoria, il sistema Nest dovrebbe essere protetto da attacchi di questo tipo grazie all’analisi integrata di app e dispositivi di terze parti. Il sito degli sviluppatori offre un elenco esaustivo di requisiti che i prodotti che interagiscono con la piattaforma devono rispettare. Questi requisiti specificano, tra le altre cose, che l’app o il dispositivo deve possedere un sistema di autorizzazione sicuro e funzionante, per evitare che qualcuno possa spacciarsi per il padrone di casa.

Di fatto, però, la verifica di app e dispositivi di terze parti può essere bypassata. Il sistema Nest verifica solo app e dispositivi con più di 50 utenti; ciò vuol dire che, se i cybercriminali creano un programma ad hoc per colpire un sistema di domotica in particolare, possono aggirare i controlli di sicurezza. I cybercriminali devono soltanto convincere la vittima a scaricare l’app creata da loro per ottenere le autorizzazioni necessarie.

Inoltre, anche le app più popolari che non soddisfano i requisiti di Nest riescono comunque a superare l’analisi. Un esempio tra tutti è Kasa Smart, che consente ai cybercriminali di collegarsi al server.

Inoltre, sembra che molte app per i dispositivi Nest diano informazioni non accurate in merito alle autorizzazioni di accesso richieste per la loro operatività. Ad esempio, la descrizione di una app di controllo del termostato specifica che lo status A casa/fuori casa serve solo per controllare il termostato in questione, mentre sappiamo bene che si tratta di modalità comuni all’intero sistema e, se avviene un cambio di status, anche gli altri dispositivi si comporteranno di conseguenza. Insomma, si tratta di una descrizione fuorviante.

Hue: benvenute le app di terze parti

Il problema delle autorizzazioni concesse ad app di terze parti riguarda anche il sistema di illuminazione intelligente Philips Hue, sviluppato in modo tale che ogni programma richieda al proprietario l’autorizzazione a collegarsi al sistema di domotica.

Tale autorizzazione viene concessa pulsando un tasto dell’unità di controllo con cui interagiscono i dispositivi Hue. Affinché ciò avvenga, la app e l’unità di controllo devono essere collegati alla stessa rete locale, in questo modo vicini e passanti non potranno collegarsi al sistema di domotica cogliendo il momento giusto e inviando una richiesta. In generale, una buona idea dal punto di vista della sicurezza, ma è la sua implementazione ad avere qualche difetto.

Come scoperto dai ricercatori, il tasto in questione deve essere “azionato” non solo dall’utente ma anche dai programmi già connessi a Hue. in questo modo, il “cervello” del sistema determina se il tasto è stato attivato seguendo il valore di una delle impostazioni di controllo dell’unità. Questo valore può essere modificato da un’app con accesso alla piattaforma, che può garantire accesso ad altre. Non solo: utilizzando le stesse impostazioni, si può negare l’accesso a dispositivi legittimi collegati dal padrone di casa.

Di per sé il bug della piattaforma Hue, se utilizzata solo per la gestione dell’illuminazione, non dovrebbe essere così pericoloso come quello della piattaforma Nest. Tuttavia, i dispositivi Hue possono collegarsi anche a Nest che, ovviamente, non solo ha accesso a serrature e telecamere ma che, in alcuni casi, consente ad app di terze parti di disattivarle.

Smart home: come proteggerle

Sembra che le falle di sicurezza siano presenti praticamente in tutti i dispositivi di domotica. Dovremmo preoccuparci? Una luce che balla o un sistema di riscaldamento fuori controllo possono creare disagi ma non sono pericolosi e non sono di grande interesse per i cybercriminali. Se viene hackerata una serratura intelligente o una telecamera di sicurezza, invece, la situazione potrebbe essere molto più spiacevole. Va comunque detto che, con tutta probabilità, la maggioranza dei ladri utilizzerà i vecchi strumenti del mestiere e non si dedicherà a sfruttare exploit.

In ogni, spetta a voi decidere se rendere più futuristica la vostra casa o meno. Se sentite il bisogno di rendere più intelligente la vostra casa, sarebbe il caso di ridurre al minimo il rischio di hackeraggio. Ecco come fare:

  • Leggete recensioni e ricerche riguardanti la sicurezza di questi dispositivi prima di acquistarli. E fate caso a come reagiscono le case produttrici quando viene scoperta una vulnerabilità. Se l’azienda risolve in tempi brevi il problema riscontrato dai ricercatori, allora è un buon segno;
  • Se vi siete decisi per un’app o un dispositivo in particolare, cercate di rimanere al corrente sugli aggiornamenti e le nuove vulnerabilità. Installate in tempi brevi tutti gli aggiornamenti rilasciati dagli sviluppatori;
  • Proteggete dispositivi e pannelli di controllo mediante password uniche e robuste. I cybercriminali non potranno effettuare un attacco di forza bruta per ottenere le “chiavi” della vostra casa.
  • Configurate correttamente la rete Wi-Fi di casa;
  • Scaricate programmi esclusivamente da fonti ufficiali e non concedete loro autorizzazioni che non siano assolutamente necessarie;
  • Quando vi collegate al sistema di domotica utilizzando una rete Wi-Fi pubblica, ricordatevi che le informazioni condivise tra voi e le vostre app online possono essere intercettate, come password e token di autorizzazione. Per evitare che ciò avvenga, utilizzate una connessione VPN sicura.