Un trapano “intelligente”, dotato di connessione ad Internet, dimostra un buon livello di sicurezza IoT

Un trapano cordless provvisto di accesso ad Internet? Secondo Mark Loveless, una cosa del genere potrebbe apparire, a prima vista, come la ricetta perfetta per vivere un vero e proprio incubo a livello di sicurezza IoT. Quando si entra nel campo dell’Internet delle Cose, ci troviamo subito di fronte a tutta una serie di esempi che possono indubbiamente rafforzare lo scetticismo degli esperti.

Loveless, senior security researcher presso Duo Security, riteneva, in un primo momento, che i cosiddetti trapani “intelligenti” fossero, in realtà, una sorta di specchietto per le allodole abilmente messo in mostra, per scopi di marketing, dai produttori dell’utensile, e che poi, alla fin fine, i vantaggi che simili prodotti potevano generare, si sarebbero facilmente trasformati in un comodo bersaglio per eventuali malintenzionati. Tuttavia, nel momento in cui ha analizzato un trapano cordless – con connessione ad Internet – prodotto da Milwaukee Tool, il ricercatore è rimasto piacevolmente sorpreso del fatto che il “cervello” smart del dispositivo era stato di fatto realizzato in maniera sicura, e assolutamente responsabile.

“Non mi aspettavo che un trapano “intelligente” potesse rivelarsi sicuro. Ma dopo aver effettuato le necessarie verifiche, sento di poter affermare che esiste davvero la speranza di avere un’Internet delle Cose – e sto parlando, qui, di quella orientata ai dispositivi consumer – realizzata nel modo giusto”, ha riconosciuto Mark Loveless.

Il trapano in questione è, per essere precisi, il modello ONE-KEY M18 Fuel 1/2″ Drill/ Driver di Milwaukee Tool; il suo sistema di controllo e gestione è basato sulla piattaforma digitale denominata One-Key. One-Key consente ai proprietari di tali attrezzi di poter monitorare, tramite un’app per smartphone, o il sito web, l’effettiva posizione del trapano, grazie alla tecnologia GPS, così come di effettuare da remoto la configurazione dello strumento (per quel che riguarda, ad esempio, la coppia del trapano), e di disabilitare, eventualmente, il funzionamento dello stesso in caso di furto.

Dopo aver esaminato attentamente l’utensile in questione, Mark Loveless è rimasto davvero colpito dal fatto di aver rilevato come il produttore avesse effettuato, riguardo al dispositivo, un modeling completo delle possibili minacce, ed avesse inoltre utilizzato in maniera corretta determinate librerie software, cifrate, di tipo open source, particolarmente sicure ed affidabili, per poi implementare, infine, una solida crittografia SSL. “Se i produttori delle telecamere di videosorveglianza avessero fatto altrettanto, la botnet Mirai non avrebbe avuto, di sicuro, alcuna chance”, – ha dichiarato il ricercatore.

“Questo non significa, comunque, che tutto quanto sia stato realizzato in maniera perfetta”, – sostiene Loveless. In effetti, egli ha individuato, sul dispositivo, alcune “vulnerabilità minori”. Una di esse consisteva nel fatto che le password statiche risultavano hardcoded all’interno dell’applicazione per lo smartphone. Un’altra falla avrebbe poi dato la possibilità, ad un potenziale ladro, di identificare facilmente il trapano da remoto, attraverso una scansione Bluetooth.

Anche i dati GPS relativi all’ubicazione del trapano possono essere agevolmente falsificati. “In linea di principio, se avessi rubato il vostro trapano, potrei manomettere i dati GPS in modo tale da far apparire che l’apparecchio sia stato sottratto, magari, dal vostro vicino di casa”, – ha sottolineato il ricercatore, servendosi di questo semplice esempio.

Complessivamente, Duo Security ha individuato quattro vulnerabilità; a due di esse sono stati poi assegnati i relativi numeri univoci CVE.

La vulnerabilità CVE-2017-3214 si riferisce al fatto che “l’app ONE-KEY contiene le credenziali master nel formato base-64, credenziali che si rivelano necessarie per ottenere il relativo bearer token. Il token in questione consente un accesso di tipo read-write alle informazioni custodite sul sito web di Milwaukee Tool”.

La vulnerabilità CVE-2017-3215 consiste nel fatto che l’applicazione One-Key utilizza dei token che rimangono validi per un periodo di tempo eccessivo – 1 anno anziché 1-2 ore, come di consueto; per tale motivo, in caso di furto o compromissione del telefono, l’attaccante può impadronirsi del token, e in seguito utilizzarlo – si legge nel report stilato da Duo Security.

“Occorre sottolineare che, adesso, stiamo parlando di un “semplice” trapano. Ma se si trattasse, invece, di una pompa di insulina, di un pacemaker, o di un sistema di allarme, queste vulnerabilità verrebbero di sicuro considerate ben più critiche”, – sostiene Mark Loveless.

Il ricercatore ha ugualmente affermato, concludendo, che, secondo lui, il trapano “intelligente” di Milwaukee Tool rappresenta, con ogni probabilità, un’eccezione alla regola, nel delicato contesto delle tematiche di sicurezza inerenti al mondo IoT/Internet of Things. “Visto che i concorrenti di Milwaukee stanno cercando di recuperare terreno, tale società ha deciso di alzare il tiro, ed ha quindi pensato di applicare i criteri di sicurezza già nella fase di sviluppo del prodotto, e non, magari in tutta fretta, dopo aver rilasciato lo stesso”.

Source: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *