Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Serrature Bluetooth a rischio furto password: tanti i casi

Serrature Bluetooth a rischio furto password: tanti i casi

Le serrature Bluetooth non sono una novità ma ciò che, ancora una volta, non sorprende è la mancanza di seri meccanismi di sicurezza in dispositivi a vario titolo connessi. Anthony Rose, un ricercatore esperto in sicurezza informatica, ha individuato varie vulnerabilità in questi sistemi, incluse password memorizzate in chiaro.

Ritenendo che fosse un problema del singolo sistema che aveva studiato, ha comprato 16 serrature Bluetooth e con l’aiuto di un partner, Ben Ramsey, ha dimostrato che la sicurezza in molti dispositivi di questo tipo è in pratica nulla. Ben 12 su 16 dei dispositivi acquistati sono privi dei sistemi di sicurezza minimi o sfruttano meccanismi di protezione non implementati adeguatamente.

Quattro dispositivi (Quicklock Doorlock, Quicklock Padloock, iBluLock Padlock e Plantraco Phantom), inviano password in chiaro; le serrature con marchio QuickLock si sono rivelate quelle più fragili e Rose è riuscito a cambiare la password dell’amministratore bloccando l’accesso a potenziali utenti. L’unico modo per riottenere accesso è togliere la batteria, ma questo può essere fatto solo se è possibile accedere al sistema di gestione che normalmente si trova all’interno di una stanza o edificio.

Altri sistemi (Ceomate Bluetooth Smartlock, Elecycle Smart Padlock, Vians Bluetooth Smart Doorlock e Lagute Sciener Smart Doorlock), che vantano meccanismi di conservazione dei dati cifrati, si sono rivelati facili da sbloccare. Conservare i dati in modo criptato non serve a nulla se poi la comunicazione avviene senza cifrare le trasmissioni, rendendo possibile lo sniffing dei dati.

Rose e Ramsey sono riusciti a sbloccare anche Okidokey Smart Doorlock, serratura che vanta tecnologie di “cifratura” e una “soluzione crittografica brevettata”. I ricercatori si sono messi in contatto con il produttore ma questi anziché rispondere alle mail, hanno chiuso il sito. I dispositivi in questione sono però ancora in vendita su siti come Amazon e simili.

Con dispositivi quali Danalock Doorlock è stato possibile aggirare la protezione usando un meccanismo di “device spoofing” con un Raspberry Pi con il quale si ottiene la password da un cloud server. Le uniche serrature che il team non è riuscito a “hackerare” sono Noke Padlock, Masterlock Padlock, Kwikset Kevo Doorlock e August Doorlock. Una prima variante del dispositivo di Kwikset può ad ogni modo essere sbloccata semplicemente inserendo un cacciavite nel buco della serratura.

Rose continuerà a testare altre serrature e dispositivi connessi. Da tempo vari ricercatori hanno dimostrato vulnerabilità nell’Internet delle cose, individuando falle in oggetti quali telecamere IP, baby monitor ma anche altri apparentemente innocenti quali le macchine “smart” per il caffè (utile dal punto di vista degli hacker per spiare e rubare la password della reti Wi-Fi domestiche).

Il consiglio è di non comprare oggetti smart da aziende qualunque ma affidarsi a nomi dalla reputazione consolidata in grado di garantire sicurezza e aggiornamenti costanti.

vul2 serrature bluetooth

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Top offerte Apple su Amazon

Apple sconta il MacBook Air M2 al minimo Amazon, solo 1099€

Apple lancia il MacBook Air M3 e abbassa il prezzo del MacBook Air M2, ma su Amazon il modello precedente è già scontato di 150 euro. Lo pagate solo 1099 €.

Ultimi articoli

Pubblicità