{"id":29693,"date":"2025-06-03T19:55:10","date_gmt":"2025-06-03T17:55:10","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29693"},"modified":"2025-06-04T13:09:50","modified_gmt":"2025-06-04T11:09:50","slug":"vulnerability-in-smart-home-control-app","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/vulnerability-in-smart-home-control-app\/29693\/","title":{"rendered":"Casa non cos\u00ec smart"},"content":{"rendered":"<p>Le case smart oggi non assomigliano per niente alla <a href=\"https:\/\/www.imdb.com\/title\/tt0192618\/\" target=\"_blank\" rel=\"nofollow noopener\">fantascienza dei film di fine anni \u201990<\/a>. Sono una realt\u00e0 per quasi tutti coloro che vivono in una grande citt\u00e0. Sarebbe difficile trovare un appartamento moderno senza prese elettriche, altoparlanti o TV smart. Nelle nuove costruzioni a volte si vedono case gi\u00e0 progettate come case <em>smart<\/em>, ovvero interi <em>complessi residenziali smart<\/em>. I residenti possono gestire non solo i dispositivi interni all\u2019appartamento, ma anche i sistemi esterni come citofoni, telecamere, cancelli, contatori di utenze e allarmi antincendio, il tutto tramite un\u2019unica app.<\/p>\n<p>Ma cosa succede se si verifica una falla di sicurezza in un\u2019app del genere? I nostri esperti del Global Research and Analysis Team (GReAT) conoscono la risposta. Hanno scoperto una vulnerabilit\u00e0 nell\u2019app Rubetek Home ed esplorato i potenziali rischi per la sicurezza, che, per fortuna, non si sono concretizzati.<\/p>\n<h2>In cosa consisteva la vulnerabilit\u00e0<\/h2>\n<p>Questa vulnerabilit\u00e0 era dovuta all\u2019invio da parte dell\u2019app di dati sensibili durante il processo di registrazione. Gli sviluppatori hanno utilizzato l\u2019API Telegram Bot per raccogliere dati analitici e inviare file di informazioni di debug dagli utenti a una chat privata del team di sviluppo tramite un bot Telegram.<\/p>\n<p>Il problema era che questi file, oltre alle informazioni di sistema, contenevano i dati personali degli utenti e, soprattutto, i token di aggiornamento necessari per autorizzare l\u2019accesso all\u2019account dell\u2019utente. I potenziali autori degli attacchi avrebbero potuto inoltrare a se stessi tutti questi file utilizzando lo stesso bot Telegram. A tale scopo, potevano ottenere il token Telegram e l\u2019ID chat dal codice dell\u2019app, quindi scorrere il numero sequenziale dei messaggi contenenti i file.<\/p>\n<p>Di recente, la registrazione degli eventi tramite Telegram \u00e8 diventata sempre pi\u00f9 popolare. \u00c8 comodo e veloce ricevere notifiche importanti negli strumenti di messaggistica. Questo approccio richiede tuttavia cautela: \u00e8 consigliabile non inoltrare i dati sensibili nei registri dell\u2019applicazione e, inoltre, vietare la copia e l\u2019inoltro di contenuto del gruppo nelle impostazioni Telegram o utilizzare il parametro <em>protect_content<\/em> quando si invia un messaggio tramite un bot Telegram.<\/p>\n<blockquote><p>\u00a0<\/p>\n<p><em>Nota importante: abbiamo contattato Rubetek immediatamente dopo aver scoperto la vulnerabilit\u00e0. Al momento della stesura di questo post, il problema era stato risolto.<\/em><\/p><\/blockquote>\n<p>I potenziali autori degli attacchi avrebbero potuto ottenere l\u2019accesso ai dati che tutte le app dell\u2019utente stavano inviando allo sviluppatore. L\u2019elenco di questi dati \u00e8 sbalorditivo:<\/p>\n<ul>\n<li>Nome completo, indirizzo e-mail o numero di cellulare e indirizzo della struttura collegata all\u2019app<\/li>\n<li>Elenco dei dispositivi collegati al sistema casa smart<\/li>\n<li>Informazioni sugli eventi registrati dai dispositivi smart, ad esempio se <em>erano attivati o disattivati in casa<\/em> o se<em> tutti i suoni sospetti sono stati captati dalle telecamere<\/em><\/li>\n<li>Informazioni di sistema sui dispositivi all\u2019interno della rete domestica locale: <em>indirizzo MAC, indirizzo IP e tipo di dispositivo<\/em><\/li>\n<li>Indirizzi IP per la connessione alle telecamere tramite il protocollo WebRTC<\/li>\n<li>Istantanee da telecamere e citofoni smart<\/li>\n<li>La chat dell\u2019utente con un modulo di assistenza<\/li>\n<li>Token che consentono di avviare una nuova sessione con l\u2019account dell\u2019utente<\/li>\n<\/ul>\n<p>Gli utenti delle app Android e iOS erano a rischio.<\/p>\n<h2>Cosa succede se gli utenti malintenzionati ottengono effettivamente il controllo della tua casa smart?<\/h2>\n<p>Questa vasta gamma di dati avrebbe potuto consentire una sorveglianza completa, consentendo di sapere chi vive dove e in quali giorni non \u00e8 presente. I criminali avrebbero potuto apprendere gli orari di chiunque e, durante quelle ore vuote, entrare in qualsiasi appartamento dopo aver disabilitato a distanza le telecamere e altri sistemi di sicurezza tramite l\u2019app.<\/p>\n<p>Sebbene un\u2019irruzione cos\u00ec palese sarebbe stata sicuramente notata, esistono possibilit\u00e0 pi\u00f9 discrete. Ad esempio, sfruttando la vulnerabilit\u00e0, gli autori dell\u2019attacco avrebbero potuto modificare in remoto i colori delle lampadine smart e la temperatura del pavimento, accendendo e spegnendo le luci all\u2019infinito, causando una notevole perdita finanziaria per i proprietari di casa.<\/p>\n<p>La cosa ancora pi\u00f9 inquietante era la possibilit\u00e0 per un utente malintenzionato di prendere di mira non solo un appartamento o una casa, ma migliaia di residenti in un intero complesso. Naturalmente, la disattivazione simultanea dei sistemi di controllo accessi non sarebbe passata inosservata dalla direzione dell\u2019edificio, ma in quanto tempo avrebbero capito cosa stava succedendo e i danni a carico dei residenti?<\/p>\n<h2>Come proteggere la casa smart<\/h2>\n<p>Tieni presente che il tipo di vulnerabilit\u00e0 in discussione potrebbe essere presente anche in altre app per la casa smart. Essendo uno dei milioni di clienti, non hai praticamente modo di sapere se un\u2019app \u00e8 stata compromessa. Pertanto, se si nota anche il minimo tipo di attivit\u00e0 sospetta, ad esempio <em>nuove persone nell\u2019elenco degli invitati, apertura e chiusura non autorizzate di cancelli e porte e cos\u00ec via<\/em>, \u00e8 consigliabile contattare l\u2019amministratore o il fornitore dell\u2019app il prima possibile.<\/p>\n<p>In uno scenario pi\u00f9 comune, come l\u2019utilizzo dei dispositivi smart all\u2019interno del proprio appartamento senza alcun amministratore di rete a cui rivolgersi, \u00e8 consigliabile seguire queste regole:<\/p>\n<ul>\n<li>Proteggi il router Wi-Fi modificando la password predefinita con una pi\u00f9 complessa, <a href=\"https:\/\/www.kaspersky.it\/blog\/how-to-protect-wifi-from-neighbors\/24190\/#:~:text=Disabilitate%20la%20WPS\" target=\"_blank\" rel=\"noopener\">disabilita WPS<\/a> e abilita il criptaggio WPA2.<\/li>\n<li>Crea una rete Wi-Fi dedicata per i dispositivi per la casa smart e imposta una password diversa per tale rete. I router moderni supportano le reti ospite, quindi se, ad esempio, un <a href=\"https:\/\/www.kaspersky.it\/blog\/ces-2025-cybersecurity\/29393\/\" target=\"_blank\" rel=\"noopener\">supporto smart<\/a> viene hackerato, i criminali non avranno accesso ai computer o agli smartphone dell\u2019utente.<\/li>\n<li>Utilizza l\u2019app <a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0per controllare periodicamente la rete alla ricerca di dispositivi non autorizzati. Se tutto va bene, <strong>Monitor Smart Home<\/strong> mostrer\u00e0 solo le informazioni sui dispositivi.<\/li>\n<li>Imposta password complesse per ogni dispositivo. Non \u00e8 necessario memorizzarle: le gestisce <a href=\"https:\/\/www.kaspersky.it\/password-manager?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a>.<\/li>\n<li>Aggiorna regolarmente il firmware di tutti i dispositivi smart, incluso il router.<\/li>\n<\/ul>\n<blockquote><p><em>Dai un\u2019occhiata a questi collegamenti per esplorare altri potenziali rischi di una casa smart hackerata e modi per proteggere la tua propriet\u00e0.<\/em><\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-secure-smart-home\/47472\/\" target=\"_blank\" rel=\"noopener nofollow\"><em>Come proteggere la casa smart<\/em><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/ip-cameras-unsecurity-eufy\/27443\/\" target=\"_blank\" rel=\"noopener\"><em>La sicurezza delle telecamere IP: il brutto, il cattivo e\u2026 il malvagio<\/em><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/smart-home-zigbee-thread-matter-advice\/47343\/\" target=\"_blank\" rel=\"noopener nofollow\"><em>Casa smart\u2026 dolce casa<\/em><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/smart-speaker-tv-smartphone-eavesdropping\/28405\/\" target=\"_blank\" rel=\"noopener\"><em>TV, smartphone e altoparlanti smart ti stanno intercettando?<\/em><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/pet-feeders-vulnerabilities\/27872\/\" target=\"_blank\" rel=\"noopener\"><em>Vulnerabilit\u00e0 dei dispenser smart per animali domestici<\/em><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>I nostri esperti di GReAT hanno scoperto una pericolosa vulnerabilit\u00e0 in un&#8217;app di controllo per la casa smart che consentiva agli utenti malintenzionati di disabilitare i sistemi di protezione fisica<\/p>\n","protected":false},"author":312,"featured_media":29694,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,2194],"tags":[3742,682,111,753,584],"class_list":{"0":"post-29693","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-privacy","9":"tag-casa-smart","10":"tag-great","11":"tag-privacy","12":"tag-tecnologia","13":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerability-in-smart-home-control-app\/29693\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerability-in-smart-home-control-app\/28895\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/24119\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/12458\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerability-in-smart-home-control-app\/28997\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/28158\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerability-in-smart-home-control-app\/30978\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerability-in-smart-home-control-app\/39582\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-in-smart-home-control-app\/13396\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/53471\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-in-smart-home-control-app\/22820\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-in-smart-home-control-app\/23859\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerability-in-smart-home-control-app\/32223\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerability-in-smart-home-control-app\/29173\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerability-in-smart-home-control-app\/34936\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerability-in-smart-home-control-app\/34567\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/casa-smart\/","name":"casa smart"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29693","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/312"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=29693"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29693\/revisions"}],"predecessor-version":[{"id":29703,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29693\/revisions\/29703"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/29694"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=29693"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=29693"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=29693"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}