Un grave difetto di progettazione nei nuovi dispositivi di sicurezza domestica Gen 4 di Shelly potrebbe esporre milioni di abitazioni europee ad attacchi, secondo Pen Test Partners.
I ricercatori di una società di consulenza in cybersicurezza affermano di aver scoperto una grave vulnerabilità nei prodotti per la smart home di Shelly, fornitore europeo di sistemi di sicurezza domestica.
Al momento i prodotti Shelly sono utilizzati in oltre 5,2 milioni di abitazioni europee. Questo difetto di progettazione creerebbe una backdoor invisibile nelle case private, che la maggior parte degli utenti non scoprirà mai, sostiene Pen Test Partners.
Secondo Pen Test Partners, i nuovi dispositivi Shelly Gen 4 per la smart home mantengono sempre attivo il punto di accesso wireless aperto necessario per la configurazione iniziale, anche dopo il corretto collegamento alla rete Wi-Fi di casa. In questo modo rimane in funzione, sullo sfondo, una rete nascosta, senza che l’utente ne sia consapevole o abbia dato il proprio consenso, molto tempo dopo la configurazione.
Al contrario, i modelli precedenti dell’azienda disattivavano automaticamente questo punto di accesso una volta collegato il dispositivo alla rete Wi-Fi domestica.
Questa falla può consentire a chiunque si trovi all’esterno di una casa privata di sfruttare la rete Wi-Fi dell’abitazione per aprire la porta d’ingresso, il garage o il cancello, creando un rischio concreto di furti e intrusioni.
Il problema però è ben più profondo. Un’indagine più ampia condotta da Pen Test Partners sostiene che non si tratti solo di un errore di progettazione.
L’attuale vulnerabilità dei dispositivi Gen 4 significa che un singolo apparecchio compromesso può essere usato come trampolino per accedere a quasi tutti i dispositivi della casa intelligente, indipendentemente dal fatto che siano prodotti Shelly oppure no.
Poiché molte case intelligenti in Europa utilizzano ancora reti composte da dispositivi di generazioni diverse, sia Shelly sia di altri marchi, questo può provocare una grave mancanza di protezione, sia online sia offline.
Nessun intervento correttivo da parte di Shelly, per ora
Pen Test Partners afferma di aver informato Shelly di questa falla di sicurezza e che la società ha fatto sapere che il firmware 1.8.0, una serie di aggiornamenti per i dispositivi, avrebbe corretto la vulnerabilità.
Nel frattempo gli utenti devono disattivare manualmente i punti di accesso, un’operazione che la maggior parte dei proprietari di casa probabilmente non sa di dover effettuare.
«Dovrebbero lanciare una grande campagna di comunicazione per spiegare che è stato lasciato aperto un punto di accesso e illustrare come disattivarlo. Non l’hanno fatto perché probabilmente danneggerebbe la loro reputazione», ha dichiarato a Euronews Next Ken Munro, fondatore di Pen Test Partners.
Shelly ha riferito a Euronews Next che gli utenti che seguono le procedure ufficiali di configurazione tramite la loro app mobile vedono il punto di accesso disattivato in modo automatico.
Gli utenti che scelgono la configurazione manuale ricevono avvisi per mettere in sicurezza il punto di accesso. Un prossimo aggiornamento del firmware disattiverà automaticamente i punti di accesso dopo un determinato periodo di tempo.
«Vorremmo sottolineare che tutte le procedure di configurazione e le risorse digitali all’interno dell’ecosistema Shelly, compresa la nostra app mobile e l’interfaccia cloud via web, forniscono indicazioni chiare agli utenti su come mettere in sicurezza i propri dispositivi», ha dichiarato a Euronews Next un portavoce di Shelly.
«Qualsiasi scelta di configurazione effettuata al di fuori di questi flussi consigliati, compreso il lasciare il punto di accesso non protetto, rientra in ultima analisi nelle preferenze dell’utente ed esula dall’ambito di controllo diretto della piattaforma.
Come per qualsiasi dispositivo connesso, gli utenti restano liberi di configurare l’hardware in base alle proprie esigenze e noi li invitiamo attivamente a seguire le raccomandazioni di sicurezza fornite durante la configurazione», ha aggiunto.
Shelly ha inoltre evidenziato che in un prossimo aggiornamento del firmware introdurrà un miglioramento che consentirà di disattivare automaticamente il punto di accesso dopo un tempo predefinito, a meno che non sia esplicitamente necessario per la configurazione o il provisioning.
Crescono le vulnerabilità nei dispositivi connessi e nelle smart home
Negli ultimi anni un numero crescente di dispositivi per la smart home e di altri apparecchi connessi è finito sotto accusa per gravi vulnerabilità. Tra questi figurano i videocitofoni Ring di Amazon e le telecamere di sicurezza Dahua.
«La nostra area di competenza sono i dispositivi connessi e testiamo ogni tipo di sistema per la casa intelligente», ha sottolineato Munro.
«Abbiamo riscontrato problemi simili negli inverter solari e abbiamo persino trovato una vulnerabilità analoga in un’auto più di dieci anni fa.»
Le fuoriuscite di dati, in particolare quelli relativi all’utilizzo e ai comportamenti degli utenti, rappresentano un altro problema cruciale legato a questi dispositivi per la smart home.
«Talvolta scopriamo che i dati sull’uso e sul comportamento delle persone sono stati diffusi accidentalmente. I produttori di dispositivi smart raccolgono dati di utilizzo per migliorare i loro prodotti, ma spesso dimenticano che i dati dei singoli utenti possono essere molto rivelatori», ha spiegato Munro.