Smartwatch, un pericolo per utenti ed aziende secondo HP

Oggi parliamo di Internet of Things, in particolare di una classe di dispositivi che impazza tra i giovanissimi e non solo, gli Smartwatch.

Analizziamo insieme i risultati di un recente studio condotto dagli esperti dell’HP, che confermano che praticamente ogni Smartwatch disponibile sul mercato è vulnerabile a diversi tipi di attacchi informatici. Tra i dispositivi analizzati, anche i popolari Apple Watch e Samsung Gear.

Gli esperti dell’azienda Fortify, di proprietà di HP, hanno testato le funzioni di sicurezza implementate dai 10 Smartwatch più popolari attualmente sul mercato. HP ha verificato la presenza delle 10 principali vulnerabilità elencate dall’organizzazione OWASP per i dispositivi appartenenti all’Internet delle Cose, scoprendo che il 100 per cento degli Smartwatch analizzati conteneva almeno una falla di sicurezza.

I problemi di sicurezza più comuni segnalati da HP includono:

  • Processi di autenticazione/Autorizzazione insufficienti: ogni Smartwatch valutato è accoppiato ad un’interfaccia mobile che non implementa autenticazione a due fattori, né tantomeno blocca gli account dopo un numero prefissato di tentativi falliti.
  • Mancata adozione dei processi di cifratura per commessioni verso servizi esterni, come quelli erogati da architetture cloud: sebbene tutti i dispositivi analizzati implementino protocolli crittografici SSL/TLS, il 40 per cento degli Smartwatch stabilisce connessioni non sicure a servizi cloud, dimostrandosi vulnerabili a numerosi attacchi incluso il temuto attacco POODLE.
  • Assenza meccanismi protezione firmware, ovvero del software che equipaggia gli Smartwatch: Circa il 70 percento degli Smartwatch valutati non proteggono il firmware ne implementano meccanismi per la convalida degli aggiornamenti. In poche parole, questa mancanza si traduce nella possibilità concreta che un attaccante sostituisca il pacchetto di aggiornamento legittimo con uno sviluppato per controllare il dispositivo. Fortunatamente, molti aggiornamenti sono firmati digitalmente per garantirne integrità ed origine e quindi mitigare il rischio di attacchi MITM.
  • Interfacce insicure: Tre Smartwatch su dieci utilizzano interfacce che offrono ad un attaccante la possibilità di condurre numerose attività per carpire dati delle vittime. Queste interfacce non implementano meccanismi per limitare i tentativi di accesso esponendo le vittime ad attacchi di brute-force ed in molti casi aiutano un hacker ad indovinare le password attraverso inutili indicazioni che forniscono all’utente.
  • Privacy: Tutti gli Smartwatch non proteggono adeguatamente le informazioni personali dell’utente, tra cui nome, indirizzo, data di nascita, peso, sesso, frequenza cardiaca e altre informazioni sensibili.

Lo studio evidenzia la necessità di un nuovo approccio nella progettazione di dispositivi intelligenti, un approccio che consideri i requisiti di sicurezza come fondamentali per la sicurezza e la privacy degli utenti. I produttori di dispositivi dell’Internet delle Cose devono prestare maggiore attenzione alla sicurezza dei clienti in considerazione dei rischi derivanti da attacchi informatici, attacchi peraltro in rapido aumento.

HP non ha rivelato i nomi dei produttori di smartphone dei dispositivi che sono stati valutati, confermando tuttavia che i suoi esperti stanno lavorando con queste aziende per “incrementare la sicurezza nei loro prodotti prima che siano messi sul mercato.

È sempre più importante riflettere sull’impatto di questi dispositivi in un contesto aziendale, in cui spesso dipendenti non istruiti sulle principali minacce informatiche possono confrontarsi con un utilizzo promiscuo di questa categoria di “device”.

Le vulnerabilità descritte consentono ad un attaccante di rubare informazioni sensibili, quali email, dati relativi a contatti, credenziali utente e molto altro. Siamo davvero disposti a pagare questo prezzo pur di avere sul polso uno Smartwatch di ultima generazione?

HPpaganini

Facebook Comments

Previous articleeMarketer: Instagram ricaverà 2,81 miliardi dall’advertising entro il 2017
Next articleUna guida per comprendere l’#InternetOfThings! #Infografica
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

LEAVE A REPLY

Please enter your comment!
Please enter your name here