L’era del frigorifero col virus è iniziata più o meno un mese fa, e quello era solo l’inizio. Le case connesse, le smart-home, si portano in dote gli stessi problemi che i PC e gli smartphone hanno da molto tempo: dove c’è una connessione, dove c’è software, c’è il rischio di un’infezione e di potenziali vulnerabilità. Una realtà con cui Belkin ha dovuto confrontarsi dopo la pubblicazione di un bollettino da parte del CERT ( Computer Emergency Readiness Team ) statunitense riguardo i dispositivi della linea WeMo per la domotica.
Ciò che emerge dal bollettino , e dalle ricerche di IOActive Security, è che Belkin ha sfruttato in modo incompleto le tecnologie impiegate nella costruzione degli apparecchi WeMo : l’implementazione della cifratura GPG e del protocollo di comunicazione STUN/TURN è incompleta, le comunicazioni viaggiano cifrate da e per i dispositivi ma non c’è verifica del certificato SSL impiegato, il codice è prono ad attacchi XML injection, creando le condizioni per un potenziale attaccante per violare le protezioni che dovrebbero mantenere privata la rete locale. In questo modo è possibile inserirsi nella LAN, inviare un firmware apparentemente legittimo ai dispositivi e farglielo installare, e a quel punto inviare comandi per scavalcare le istruzioni impartite dal proprietario. Poiché l’intera infrastruttura è pensata per approfittare delle stesse scappatoie che utilizza il protocollo VoIP per scavalcare le limitazioni NAT, ottenuto l’accesso al network WeMo si penetra in una sorta di rete parallela interna alla LAN: una prospettiva non proprio allettante.
La linea WeMo comprende tra l’altro delle webcam che è possibile controllare dal proprio smartphone per tenere d’occhio l’abitazione: è evidente che si tratta di dispositivi pensati anche per la sicurezza, che in caso di violazione della rete locale sarebbero in balia degli attaccanti. Senza contare che un interruttore o una presa comandata a distanza, a cui sia collegato un apparecchio elettrico che riscalda, se azionata incautamente potrebbe dare origine a un incendio o in ogni caso causare danni all’abitazione.
Il CERT consiglia ai possessori di apparecchi WeMo di aggiornarli all’ultimo firmware disponibile , che Belkin ha provveduto a realizzare dopo essere stata informata dal problema. In più , si può agire sul proprio router domestico per chiudere qualsiasi accesso dalla WAN (quindi dall’esterno) diretto verso l’IP del device in questione: in questo modo l’unica strada per riuscire nell’attacco sarebbe quella di agire dall’interno della casa, sacrificando però la possibilità di agire sugli apparecchi via smartphone mentre ci si trova fuori dalle mura domestiche.
Luca Annunziata