Ricercatori di Check Point, società specializzata in sicurezza informatica, affermano di avere individuato una vulnerabilità molto seria in router e modem usati per fornire la connettività internet a 12 milioni di case e piccole società in tutto il mondo. Il bug, di non facile soluzione, è stato denominato “Misfortune Cookie” (biscotto della sfortuna), è stato identificato in apparati creati da produttori quali D-Link, Huawei e ZTE, e consentirebbe potenzialmente a hacker malintenzionati di attaccare computer, smartphone e tablet.
Sfruttando il bug in questione, un attacker potrebbe essere in grado di monitorare le connessioni internet, rubare password, dati commerciali e altre informazioni. Check Point non ha al momento indicato i dettagli e portavoce di D-Link, Huawei e ZTE non hanno al momento rilasciato dichiarazioni.
Shahar Tal, ricercatore dell’israeliana Check Point, interpellato da Re/code, ha spiegato che la vulnerabilità riguarda un errore di programmazione fatto nel 2002; l’errore in questione ha origine in RomPager di Allegro Software, società del Massachusetts che produce un webserver embedded e che avrebbe erroneamente commesso l’errore nella compilazione del software.
“Si è trattato di un errore molto semplice e sembrava inizialmente benevolo” ha spiegato Tal, “Quando lo abbiamo riportato alla società, sono rimasti sorpresi, non si aspettavano tale gravità”.
La lista dei dispositivi nei quali è presente il problema include 200 prodotti di 20 diverse società. Si calcola che, come già detto, i prodotti con la vulnerabilità in questione siano nelle case e negli uffici di almeno 12 milioni di utenti. Il problema riguarda anche dispositivi di recente produzione. Al momento non si segnalano attacchi specifici portati a termine sfruttando il bug Misfortune Cookie.
I responsabili di Allegro Software minimizzano la severità del problema e la loro responsabilità: “È un bug che è stato risolto 12 anni fa” ha detto il CEO Bob Van Andel, ammettendo ad ogni modo che molti utenti sono potenzialmente in pericolo. “I nostri clienti non hanno l’obbligo contrattuale di usare l’ultima versione del software”; in pratica alcuni produttori hanno aggiornato il firmware e propongono nuove release agli utenti, altri (la maggiorparte) non hanno mai rilasciato versioni aggiornate, esenti dal problema. “È una decisione a loro rischio” spiega ancora Van Andel.
