{"id":27713,"date":"2023-04-25T14:29:55","date_gmt":"2023-04-25T12:29:55","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27713"},"modified":"2023-04-28T19:32:48","modified_gmt":"2023-04-28T17:32:48","slug":"3-reasons-not-to-use-smart-locks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/3-reasons-not-to-use-smart-locks\/27713\/","title":{"rendered":"Tre motivi per evitare di usare le serrature smart"},"content":{"rendered":"

Le serrature smart possono essere davvero comode. Ce ne sono molte sul mercato, con numerosi tipi diversi tra cui scegliere. Alcune sono persino in grado di rilevare quando il proprietario (o, meglio, il suo smartphone) si avvicina e si aprono senza una chiave. Altre sono controllate da remoto, permettendoti di aprire la porta ad amici o familiari senza essere a casa. Altre ancora offrono funzionalit\u00e0 di videosorveglianza: qualcuno suona il campanello e puoi vedere subito sullo smartphone chi \u00e8.<\/p>\n

Tuttavia, i dispositivi smart comportano rischi di cui chi usa le tradizionali serrature offline non deve mai preoccuparsi. Uno studio attento di questi rischi rivela ben tre motivi per continuare a utilizzare le serrature abituali. Esaminiamoli\u2026<\/p>\n

Primo motivo: le serrature smart sono fisicamente pi\u00f9 vulnerabili di quelle tradizionali<\/h2>\n

Il problema \u00e8 che le serrature smart uniscono due concetti diversi. In teoria, esse dovrebbero disporre di un componente smart affidabile e allo stesso tempo garantire un\u2019efficace protezione contro le manomissioni fisiche, in modo da non poter essere aperte. L\u2019unione di questi due concetti non sempre funziona: il risultato in genere \u00e8 una serratura smart poco sicura o una robusta serratura di ferro con un software vulnerabile.<\/p>\n

Abbiamo gi\u00e0 descritto alcuni esempi particolarmente eclatanti di serrature incapaci di svolgere il proprio lavoro in un altro post<\/a>. Di solito esse includono un fantastico lucchetto con uno scanner di impronte digitali, sotto il quale tuttavia c\u2019\u00e8 un meccanismo di apertura potenzialmente accessibile a chiunque (una leva). Inoltre, esiste una serratura smart per biciclette che pu\u00f2 essere smontata con un cacciavite.<\/p>\n

\"Esempio<\/a>

Il riquadro superiore con il lettore di impronte digitali pu\u00f2 essere facilmente rimosso con un coltello. Il meccanismo di apertura \u00e8 accessibile sotto il pannello. Fonte<\/a>.<\/p><\/div>\n

Secondo motivo: problemi del componente smart<\/h2>\n

Anche rendere sufficientemente sicuro il componente smart non \u00e8 facile. \u00c8 importante ricordare che gli sviluppatori di tali dispositivi spesso danno la priorit\u00e0 alla funzionalit\u00e0 a scapito della protezione. L\u2019esempio pi\u00f9 recente \u00e8 l\u2019Akuvox E11, un dispositivo progettato non per l\u2019uso domestico, ma per gli uffici. L\u2019Akuvox E11 \u00e8 un interfono smart dotato di un terminale per la ricezione di un flusso video dalla videocamera integrata, oltre che di un pulsante per aprire la porta. Poich\u00e9 si tratta di un dispositivo smart, pu\u00f2 essere controllato tramite l\u2019app per smartphone.<\/p>\n

\"Interfono<\/a>

La serratura Akuvox E11 presenta diverse vulnerabilit\u00e0, consentendo senza troppi problemi l\u2019accesso non autorizzato ai locali che dovrebbe proteggere. Fonte<\/a>.<\/p><\/div>\n

Il software \u00e8 stato implementato<\/a> in modo tale che chiunque possa accedere in qualsiasi momento sia al video che all\u2019audio della videocamera. Inoltre, se non si provvede a isolare l\u2019interfaccia Web da Internet, chiunque potr\u00e0 controllare la serratura e aprire la porta. Questo \u00e8 un esempio da manuale di sviluppo software non sicuro: le richieste video mancano dei controlli di autorizzazione, parte dell\u2019interfaccia Web \u00e8 accessibile senza password e la password stessa \u00e8 facile da decifrare grazie al criptaggio con una chiave fissa che \u00e8 la stessa per tutti i dispositivi.<\/p>\n

Ti servono altri esempi? Eccoli\u2026 Questo articolo<\/a> parla di una serratura che consente agli intrusi nelle vicinanze di ottenere la password della rete Wi-Fi. In questo caso<\/a>, una serratura smart non protegge adeguatamente il trasferimento dei dati: un utente malintenzionato pu\u00f2 intercettare il canale radio e assumere il controllo. Ed ecco<\/a> un altro esempio di interfaccia Web protetta in modo inadeguato.<\/p>\n

Terzo motivo: \u00e8 necessario aggiornare regolarmente il software<\/h2>\n

Uno smartphone generalmente riceve aggiornamenti per due o tre anni dopo il rilascio. Per quanto riguarda i dispositivi IoT a basso costo, il supporto potrebbe essere sospeso anche prima. L\u2019aggiornamento di un dispositivo smart tramite Internet \u00e8 abbastanza semplice. Tuttavia, la gestione del supporto per i dispositivi richiede risorse e comporta costi per il produttore.<\/p>\n

Questo di per s\u00e9 pu\u00f2 rappresentare un problema, ad esempio quando il produttore disabilita l\u2019infrastruttura cloud<\/a> e il dispositivo smette di funzionare. Ma anche quando le funzionalit\u00e0 di una serratura smart vengono mantenute, potrebbero comunque emergere vulnerabilit\u00e0 che non erano note al produttore al momento del rilascio.<\/p>\n

Ad esempio, nel 2022 i ricercatori hanno scoperto<\/a> una vulnerabilit\u00e0 nel protocollo Bluetooth Low Energy, che molte aziende hanno adottato come standard per l\u2019autenticazione contactless durante lo sblocco di vari dispositivi (incluse le serrature smart). Questa vulnerabilit\u00e0 apre la porta (per cos\u00ec dire) ai cosiddetti attacchi relay, in cui l\u2019autore dell\u2019attacco deve essere vicino al proprietario della serratura smart e deve utilizzare attrezzature speciali (ma relativamente economiche). Armato di questo hardware, l\u2019autore dell\u2019attacco pu\u00f2 trasmettere segnali tra lo smartphone della vittima e la serratura smart. Questo induce la serratura smart a pensare che lo smartphone del proprietario sia nelle vicinanze (invece che in un centro commerciale a qualche chilometro di distanza), quindi sblocca la porta.<\/p>\n

\"Esempio<\/a>

Una serratura Kwikset vulnerabile a un attacco relay che utilizza un bug nel protocollo Bluetooth Low Energy. Fonte<\/a>.<\/p><\/div>\n

Poich\u00e9 il software della serratura smart \u00e8 molto complesso, la probabilit\u00e0 che contenga gravi vulnerabilit\u00e0 non \u00e8 mai pari a zero. Se ne viene scoperta una, il produttore deve rilasciare immediatamente un aggiornamento e inviarlo a tutti i dispositivi venduti. Ma cosa succede se il modello \u00e8 stato ritirato o non \u00e8 pi\u00f9 supportato?<\/p>\n

Con gli smartphone risolviamo questo problema acquistando un nuovo dispositivo ogni due o tre anni. Con quale frequenza prevedi di sostituire una serratura connessa a Internet? In genere ci aspettiamo che tali dispositivi durino per decenni, non per un paio d\u2019anni (finch\u00e9 il produttore non ritira il supporto o fallisce).<\/p>\n

Allora, cosa fare?<\/h2>\n

Dovrebbe essere chiaro che tutte le serrature (non solo quelle smart) possono essere violate. Tuttavia, quando si decide di installare un dispositivo smart al posto di una serratura standard, \u00e8 opportuno riflettere bene: \u00e8 davvero necessario poter aprire la porta dallo smartphone? Se la risposta a questa domanda \u00e8 affermativa, considera almeno i seguenti punti:<\/p>\n