{"id":27872,"date":"2023-07-03T11:44:22","date_gmt":"2023-07-03T09:44:22","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27872"},"modified":"2023-07-03T11:44:22","modified_gmt":"2023-07-03T09:44:22","slug":"pet-feeders-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/pet-feeders-vulnerabilities\/27872\/","title":{"rendered":"Vulnerabilit\u00e0 dei dispenser smart per animali domestici"},"content":{"rendered":"

Tutti noi amiamo i nostri animali domestici. E cosa amano gli animali pi\u00f9 di qualsiasi altra cosa? Le coccole e il cibo, ovviamente. O viceversa: prima il cibo, poi le coccole.<\/p>\n

I moderni dispenser smart sono progettati per evitare che il tuo cucciolo soffra la fame o si annoi mentre tu non sei a casa. Ma qual \u00e8 il livello di questi dispositivi in termini di cybersecurity? Non esattamente eccezionale\u2026<\/p>\n

Una ciotola intelligente per i nostri amici a quattro zampe<\/h2>\n

I dispenser smart stanno diventando sempre pi\u00f9 popolari tra i proprietari di animali domestici che non possono stare a casa tutto il giorno. \u00c8 difficile far comprendere a cani e gatti perch\u00e9 ogni mattina abbiamo la necessit\u00e0 di uscire, anzich\u00e9 restare in casa a loro disposizione per nutrirli, portarli a passeggio o giocare con loro. Ma con un dispenser smart almeno non soffriranno la fame.<\/p>\n

I primi dispenser automatici erano dispositivi offline controllati da un timer e si limitavano a dosare le porzioni di cibo. Tuttavia, con la crescente diffusione dei sistemi smart home, anche questi dispositivi sono diventati sempre pi\u00f9 complessi e hanno acquisito funzionalit\u00e0 extra. Ora, oltre a impostare un programma di erogazione del cibo, puoi anche monitorare e persino comunicare a distanza con il tuo animale domestico utilizzando il microfono, l\u2019altoparlante e la fotocamera integrati. Molti modelli supportano anche il controllo vocale tramite alcuni dispositivi esterni, come ad esempio Amazon Alexa. A questo scopo, puoi connetterli al Wi-Fi di casa e gestirli tramite un\u2019app sul telefono.<\/p>\n

Come ogni dispositivo smart home dotato di fotocamera, microfono e accesso a Internet, naturalmente anche questi dispenser hanno immediatamente attirato l\u2019interesse degli hacker. Abbiamo gi\u00e0 ampiamente trattato i problemi relativi alla sicurezza delle telecamere IP<\/a>. Gli hacker possono manipolare in remoto diversi dispositivi smart, ad esempio i baby monitor per molestare le babysitter e spaventare i bambini<\/a>, gli aspirapolvere robot per scattare foto compromettenti dei proprietari<\/a> o tracciare la planimetria della loro abitazione e persino le lampadine smart (!) per sferrare attacchi alle reti domestiche<\/a>.<\/p>\n

Ora \u00e8 il turno dei dispositivi per animali domestici.<\/p>\n

I punti deboli dei dispenser smart<\/h2>\n

I nostri esperti hanno esaminato la mangiatoia smart Dogness<\/a>, piuttosto popolare, e hanno rilevato molte vulnerabilit\u00e0 che consentono a un utente malintenzionato di alterare il programma di erogazione del cibo, mettendo potenzialmente in pericolo la salute degli animali domestici o addirittura trasformando il dispositivo in un sistema di spionaggio. Alcuni dei problemi di sicurezza pi\u00f9 frustranti includono l\u2019uso di credenziali hardcoded, la comunicazione con il cloud in chiaro e un processo di aggiornamento del firmware non sicuro. Queste vulnerabilit\u00e0 possono essere sfruttate per ottenere l\u2019accesso non autorizzato al dispenser smart e utilizzarlo come trampolino di lancio per attaccare altri dispositivi della rete domestica. Per ulteriori informazioni sulla metodologia di ricerca, consulta il nostro report dettagliato<\/a> su Securelist. In questo post, ci limiteremo a esaminare le vulnerabilit\u00e0 rilevate e i rischi che comportano.<\/p>\n

L\u2019origine del problema<\/h2>\n

La principale vulnerabilit\u00e0 del dispenser smart Dogness \u00e8 il server Telnet che consente l\u2019accesso root remoto tramite la porta predefinita. Allo stesso tempo, la password del superutente<\/a> \u00e8 hardcoded nel firmware e non pu\u00f2 essere modificata. Questo significa che un utente malintenzionato che estrae il firmware pu\u00f2 facilmente recuperare la password e ottenere l\u2019accesso completo al dispositivo e, di fatto, a qualsiasi<\/em> dispositivo dello stesso modello, poich\u00e9 hanno tutti la stessa password root. Basta acquistare lo stesso modello di dispenser e darsi da fare.<\/p>\n

Effettuando l\u2019accesso remoto tramite Telnet (per questo l\u2019hacker deve ottenere l\u2019accesso remoto alla rete domestica) con accesso root, un intruso pu\u00f2 eseguire qualsiasi codice nel dispositivo, modificare le impostazioni e rubare dati sensibili, inclusi i filmati trasferiti dalla fotocamera del dispenser al cloud. La mangiatoia pu\u00f2 cos\u00ec essere facilmente trasformata in un dispositivo di spionaggio, con una fotocamera grandangolare e un buon microfono.<\/p>\n

Criptaggio, ci sei?<\/h2>\n

Oltre alla password root incorporata nel firmware e comune a tutti i dispositivi, \u00e8 stata rilevata una vulnerabilit\u00e0 non meno grave: le comunicazioni con il cloud non sono criptate. Anche i dati di autenticazione vengono trasmessi in forma non criptata. Un utente malintenzionato non deve nemmeno preoccuparsi di estrarre la password root dal firmware: gli baster\u00e0 intercettare il traffico tra la mangiatoia e il cloud, ottenere l\u2019accesso al dispositivo e quindi attaccare altri dispositivi sulla stessa rete, mettendo a rischio l\u2019intera infrastruttura domestica.<\/p>\n

Alexa, abbaia!<\/h2>\n

Nonostante queste vulnerabilit\u00e0, le sorprese non sono finite. Il dispenser Dogness pu\u00f2 connettersi ad Amazon Alexa per il controllo vocale. Comodo, vero? Basta pronunciare una parola per attivare il dispenser tramite Alexa. Non hai nemmeno bisogno di tirare fuori il telefono.<\/p>\n

Ancora una volta, come puoi immaginare, una sicurezza senza regole stringenti da parte degli sviluppatori ha delle conseguenze. Il dispositivo riceve i comandi da Alexa tramite MQTT (Message Queuing Telemetry Transport) e le credenziali di accesso vengono nuovamente scritte in chiaro direttamente nel file eseguibile. Anche in questo caso, le credenziali sono le stesse per tutti i dispositivi sul mercato. Pertanto, una volta connessa ad Alexa per il controllo vocale, la mangiatoia non \u00e8 pi\u00f9 solo tua<\/em>.<\/p>\n

Collegandosi al server MQTT, un hacker pu\u00f2 raccogliere rapidamente gli identificatori di tutti i dispositivi simili connessi al server, ovvero tutti i dispenser i cui proprietari hanno deciso di utilizzare il controllo vocale. Successivamente, il cybercriminale pu\u00f2 inviare uno dei comandi disponibili tramite il controllo vocale dal server MQTT a qualsiasi mangiatoia Dogness connessa ad Alexa con un identificatore noto.<\/p>\n

Un criminale potrebbe inviare comandi per modificare il programma di erogazione e le quantit\u00e0 di cibo (concedendo al tuo animale domestico un pranzo degno di un re o obbligandolo al digiuno totale). Un altro effetto collaterale \u00e8 che un utente malintenzionato potrebbe inviare ripetutamente al dispenser comandi appositamente predisposti, rendendo in tal modo inutilizzabile l\u2019interfaccia dei comandi vocali.<\/p>\n

Streaming, che tu lo voglia o no<\/h2>\n

Approfondendo l\u2019esame, ci attendevano nuove sorprese, in particolare per quanto riguarda il caricamento di video nel cloud, da dove \u00e8 possibile riprodurli in streaming sul telefono. Sebbene l\u2019app mobile si connetta al server utilizzando il protocollo HTTPS sicuro, \u00e8 emerso che la mangiatoia stessa trasmette i dati al cloud senza criptaggio, tramite il vecchio protocollo HTTP non sicuro. Inoltre, sia l\u2019ID che la chiave di caricamento (che \u00e8 hardcoded nei file binari) vengono trasmessi al server in chiaro.<\/p>\n

Dato che la telecamera \u00e8 progettata per registrare e trasmettere continuamente video al server, questa vulnerabilit\u00e0 consente agli autori degli attacchi di vedere e ascoltare tutto ci\u00f2 che accade nel campo visivo del dispositivo.<\/p>\n

Firmware poco affidabile<\/h2>\n

Infine, la ciliegina sulla torta: il processo di aggiornamento del firmware, vale a dire il mezzo con cui risolvere i problemi di cui abbiamo parlato sopra, \u00e8 di per s\u00e9 poco sicuro! Per eseguire l\u2019aggiornamento, il dispenser scarica un file di archivio con il nuovo firmware dal server di aggiornamento tramite il protocollo HTTP non sicuro. L\u2019archivio \u00e8 protetto tramite password, ma, come probabilmente avrai gi\u00e0 intuito, questa password \u00e8 scritta in chiaro in uno degli script di aggiornamento. Inoltre, l\u2019URL da cui viene scaricata l\u2019ultima versione del firmware viene generato in base alla risposta ricevuta dal server di aggiornamento, il cui indirizzo \u00e8, appunto, incluso nel firmware esistente.<\/p>\n

Non esistono firme digitali n\u00e9 altri metodi per verificare il firmware: il dispositivo scarica l\u2019archivio con il nuovo firmware su un canale non criptato, lo decomprime utilizzando la password incorporata (e comune a tutti i dispositivi) e lo installa immediatamente. Un utente malintenzionato potrebbe quindi modificare il firmware e caricare tutto quello che desidera nel dispositivo, aggiungendo funzionalit\u00e0 inaspettate e indesiderate.<\/p>\n

Come restare al sicuro?<\/h2>\n

In un mondo ideale, tutti questi difetti di sicurezza sarebbero stati corretti dal produttore del dispenser tramite un aggiornamento tempestivo del firmware, prima che gli hacker ne venissero a conoscenza. Nel mondo reale, abbiamo ripetutamente segnalato i problemi al produttore. Tuttavia, da ottobre 2022 non abbiamo ricevuto risposta. Nel frattempo, tutte le vulnerabilit\u00e0 rilevate sono ancora presenti nelle mangiatoie smart Dogness disponibili in commercio. Questo rappresenta una seria minaccia per il benessere degli animali e la privacy dei loro padroni.<\/p>\n

Ti consigliamo di leggere la nostra guida dettagliata alla configurazione della sicurezza per gli ambienti smart home<\/a>. La maggior parte delle indicazioni fornite in questo articolo \u00e8 valida anche per i problemi dei dispenser smart di cui abbiamo parlato. In ogni caso, ecco alcuni semplici consigli per i possessori di mangiatoie per animali Dogness:<\/p>\n