Mentre conducevano ricerche sulla vulnerabilità dei dispositivi IoT (Internet of Things), i ricercatori della Ben Gurion University hanno scoperto che molti produttori e proprietari di tali dispositivi rendevano il lavoro di un hacker abbastanza facile.
I dispositivi IoT standard spesso hanno le loro password predefinite pubblicate online, solitamente dal produttore del dispositivo per facilitare la configurazione rapida del dispositivo.
Ottenere queste password è stato facile: il team di ricerca Ben-Gurion era spesso in grado di trovare password predefinite in meno di 30 minuti con una semplice ricerca su Google.
Il problema è che se una password predefinita è online per l’utilizzo da parte del proprietario di un dispositivo, anche un utente malintenzionato può trovarlo facilmente. Fortunatamente per gli autori di attacchi, molti proprietari di dispositivi IoT non cambiano mai le password predefinite per il proprio dispositivo una volta configurato, e spesso il produttore del dispositivo non incoraggia il proprietario del dispositivo a farlo.
Ancora peggio in alcuni casi, la password predefinita non può essere modificata. Sfortunatamente, questo dà l’illusione della sicurezza ai possessori di dispositivi inconsapevoli del fatto che lasciare una password predefinita non è meglio del non averla.
Esacerbando questo problema, i ricercatori hanno anche scoperto che molte delle password di dispositivo predefinite pubblicate online erano condivise su dispositivi fabbricati dagli stessi produttori.
Il fatto che molti proprietari di smart device non cambino mai le password predefinite è ben noto ai ricercatori di sicurezza e ai criminali informatici. In molti casi, la ricerca di dispositivi abilitati a Internet lasciati completamente aperti all’accesso – senza nemmeno una password predefinita – richiede solo una rapida ricerca su Shodan, detta anche la “Google per dispositivi connessi a Internet”.
Spesso i dispositivi rilevati su Shodan appartengono al settore aziendale o industriale, come database di marketing o sistemi di controllo industriale, ma anche i dispositivi di livello consumer sono sempre più presenti.
Dopo aver ottenuto l’accesso, i ricercatori Ben-Gurion sono stati in grado di controllare a distanza i dispositivi che stavano ricercando, inclusi termostati, monitor per bambini e telecamere di sicurezza domestica. Oltre ad essere in grado di spiare i proprietari di case, l’accesso a questi dispositivi IoT di solito ha dato ai ricercatori libero accesso alle reti domestiche personali dei loro proprietari, in quanto le credenziali Wi-Fi non erano ben protette all’interno dei dispositivi.
Entrare a far parte di una rete Wi-Fi domestica per infettare dispositivi con malware, il tutto tramite una macchina per caffè abilitata a Internet poco sicura, potrebbe sembrare un po’ ridicolo, ma è purtroppo assolutamente possibile. E con i dispositivi IoT che continuano a invadere il mercato, è uno scenario che probabilmente vedremo realizzarsi più volte. Dopotutto, i dispositivi IoT non protetti sono stati la spina dorsale della botnet Mirai.
Il consiglio ai proprietari di dispositivi è chiaro: non rendeteli così esposti ai malintenzionati. Assicuratevi di non utilizzare password predefinite: sostituitele con una password univoca e complessa.