Alfonso Maruccia

Sex toy, vulnerabilitÓ wireless

I giocattoli "per adulti" prestano il fianco ad alcuni problemi "sistemici" a causa di un design che tiene in pochissimo conto la sicurezza, denunciano i ricercatori. Occorre riprogettarli anche considerando gli standard futuri

Roma - La nuova minaccia informatica arriva dai sex toy interconnessi, vale a dire quella particolare categoria di dispositivi per adulti progettati per offrire funzionalità avanzate tramite il collegamento a Internet, smartphone o router domestici. Una caratteristica che, stando alle analisi di PenTestPartners (PTP), apre la porta - anzi la backdoor - a possibilità di attacco a dir poco preoccupanti.

All'origine dei problemi identificati da PTP c'è lo standard Bluetooth LE (BLE), una tecnologia di collegamento wireless a basso consumo le cui implementazioni lasciano spesso a desiderare in quanto a sicurezza. Le svariate linee di "smart toy" prese di mira dai ricercatori (butt plug e vibratori Lovense, Fleshlight Kiiroo ecc.) sono caratterizzati più o meno dalle stesse falle derivanti da questa scarsa considerazione delle buone pratiche di opsec.

Il procedimento di pairing tra i sex toy e lo smartphone dell'utente, tanto per cominciare, non prevede l'uso di alcuna interfaccia specifica per l'inserimento di PIN o password di protezione (che sarebbe tra l'altro difficile da integrare su un butt plug o un vibratore).
Non bastasse questo, buona parte dei sex toy analizzati da PTP usa la stessa sigla di identificazione (LVS-Z001 nel caso di Lovense) così da permettere a un malintenzionato di andarsene in giro per la città con un'antenna sufficientemente potente da costruirsi una "mappa" dei dispositivi vulnerabili da prendere di mira in seguito.

I problemi di sicurezza evidenziati da PTP nell'implementazione delle connessioni BLE non si limitano ai sex toy, visto che anche negli altri oggetti "smart" - magari pensati per usi meno ricreativi come un apparecchio acustico dal costo di svariate migliaia di dollari - le protezioni sono inesistenti e le possibilità di attacco notevoli.

I ricercatori esortano i progettisti a migliorare la opsec dei gadget della IoT - implementando ad esempio un PIN univoco per ogni singola unità da inserire nella documentazione allegata. E di cominciare a farlo piuttosto in fretta, visto che la prossima revisione dello standard Bluetooth (4.2) permetterà i collegamenti a basso consumo (BLE) tra un singolo dispositivo e più persone.

Alfonso Maruccia
Notizie collegate
  • SicurezzaBlueBorne, milioni di dispositivi Bluetooth sono vulnerabiliRivelato da Armis Lab, tale vettore di attacco pu˛ permettere ad un malintenzionato di prendere il controllo di PC, smartphone e dispositivi IoT, sfruttando vulnerabilitÓ implementative sul protocollo Bluetooth. Di seguito la nostra analisi tecnica
  • Digital LifeSex toys connessi, class action milionariaLa casa costruttrice di vibratori Bluetooth We-Vibe, la canadese Standard Innovation, condannata a pagare un risarcimento di quasi 4 milioni di dollari per aver raccolto dati sensibili senza consenso degli utenti
  • AttualitàSex robot, la minaccia degli hackerScovata l'ennesima "minaccia" cibernetica per l'umanitÓ del futuro, che a quanto pare non potrÓ fidarsi nemmeno dei sex robot e dovrÓ piuttosto aspettarsi il peggio quando i cyber-oggetti del piacere saranno connessi in Rete
15 Commenti alla Notizia Sex toy, vulnerabilitÓ wireless
Ordina