Tre motivi per evitare di usare le serrature smart

Meglio utilizzarle per beni non particolarmente preziosi o necessari. Ecco perché.

Tre motivi per evitare di usare le serrature smart

Le serrature smart possono essere davvero comode. Ce ne sono molte sul mercato, con numerosi tipi diversi tra cui scegliere. Alcune sono persino in grado di rilevare quando il proprietario (o, meglio, il suo smartphone) si avvicina e si aprono senza una chiave. Altre sono controllate da remoto, permettendoti di aprire la porta ad amici o familiari senza essere a casa. Altre ancora offrono funzionalità di videosorveglianza: qualcuno suona il campanello e puoi vedere subito sullo smartphone chi è.

Tuttavia, i dispositivi smart comportano rischi di cui chi usa le tradizionali serrature offline non deve mai preoccuparsi. Uno studio attento di questi rischi rivela ben tre motivi per continuare a utilizzare le serrature abituali. Esaminiamoli…

Primo motivo: le serrature smart sono fisicamente più vulnerabili di quelle tradizionali

Il problema è che le serrature smart uniscono due concetti diversi. In teoria, esse dovrebbero disporre di un componente smart affidabile e allo stesso tempo garantire un’efficace protezione contro le manomissioni fisiche, in modo da non poter essere aperte. L’unione di questi due concetti non sempre funziona: il risultato in genere è una serratura smart poco sicura o una robusta serratura di ferro con un software vulnerabile.

Abbiamo già descritto alcuni esempi particolarmente eclatanti di serrature incapaci di svolgere il proprio lavoro in un altro post. Di solito esse includono un fantastico lucchetto con uno scanner di impronte digitali, sotto il quale tuttavia c’è un meccanismo di apertura potenzialmente accessibile a chiunque (una leva). Inoltre, esiste una serratura smart per biciclette che può essere smontata con un cacciavite.

Esempio di serratura smart fisicamente vulnerabile

Il riquadro superiore con il lettore di impronte digitali può essere facilmente rimosso con un coltello. Il meccanismo di apertura è accessibile sotto il pannello. Fonte.

Secondo motivo: problemi del componente smart

Anche rendere sufficientemente sicuro il componente smart non è facile. È importante ricordare che gli sviluppatori di tali dispositivi spesso danno la priorità alla funzionalità a scapito della protezione. L’esempio più recente è l’Akuvox E11, un dispositivo progettato non per l’uso domestico, ma per gli uffici. L’Akuvox E11 è un interfono smart dotato di un terminale per la ricezione di un flusso video dalla videocamera integrata, oltre che di un pulsante per aprire la porta. Poiché si tratta di un dispositivo smart, può essere controllato tramite l’app per smartphone.

Interfono smart Akuvox E11

La serratura Akuvox E11 presenta diverse vulnerabilità, consentendo senza troppi problemi l’accesso non autorizzato ai locali che dovrebbe proteggere. Fonte.

Il software è stato implementato in modo tale che chiunque possa accedere in qualsiasi momento sia al video che all’audio della videocamera. Inoltre, se non si provvede a isolare l’interfaccia Web da Internet, chiunque potrà controllare la serratura e aprire la porta. Questo è un esempio da manuale di sviluppo software non sicuro: le richieste video mancano dei controlli di autorizzazione, parte dell’interfaccia Web è accessibile senza password e la password stessa è facile da decifrare grazie al criptaggio con una chiave fissa che è la stessa per tutti i dispositivi.

Ti servono altri esempi? Eccoli… Questo articolo parla di una serratura che consente agli intrusi nelle vicinanze di ottenere la password della rete Wi-Fi. In questo caso, una serratura smart non protegge adeguatamente il trasferimento dei dati: un utente malintenzionato può intercettare il canale radio e assumere il controllo. Ed ecco un altro esempio di interfaccia Web protetta in modo inadeguato.

Terzo motivo: è necessario aggiornare regolarmente il software

Uno smartphone generalmente riceve aggiornamenti per due o tre anni dopo il rilascio. Per quanto riguarda i dispositivi IoT a basso costo, il supporto potrebbe essere sospeso anche prima. L’aggiornamento di un dispositivo smart tramite Internet è abbastanza semplice. Tuttavia, la gestione del supporto per i dispositivi richiede risorse e comporta costi per il produttore.

Questo di per sé può rappresentare un problema, ad esempio quando il produttore disabilita l’infrastruttura cloud e il dispositivo smette di funzionare. Ma anche quando le funzionalità di una serratura smart vengono mantenute, potrebbero comunque emergere vulnerabilità che non erano note al produttore al momento del rilascio.

Ad esempio, nel 2022 i ricercatori hanno scoperto una vulnerabilità nel protocollo Bluetooth Low Energy, che molte aziende hanno adottato come standard per l’autenticazione contactless durante lo sblocco di vari dispositivi (incluse le serrature smart). Questa vulnerabilità apre la porta (per così dire) ai cosiddetti attacchi relay, in cui l’autore dell’attacco deve essere vicino al proprietario della serratura smart e deve utilizzare attrezzature speciali (ma relativamente economiche). Armato di questo hardware, l’autore dell’attacco può trasmettere segnali tra lo smartphone della vittima e la serratura smart. Questo induce la serratura smart a pensare che lo smartphone del proprietario sia nelle vicinanze (invece che in un centro commerciale a qualche chilometro di distanza), quindi sblocca la porta.

Esempio di serratura smart vulnerabile agli attacchi relay

Una serratura Kwikset vulnerabile a un attacco relay che utilizza un bug nel protocollo Bluetooth Low Energy. Fonte.

Poiché il software della serratura smart è molto complesso, la probabilità che contenga gravi vulnerabilità non è mai pari a zero. Se ne viene scoperta una, il produttore deve rilasciare immediatamente un aggiornamento e inviarlo a tutti i dispositivi venduti. Ma cosa succede se il modello è stato ritirato o non è più supportato?

Con gli smartphone risolviamo questo problema acquistando un nuovo dispositivo ogni due o tre anni. Con quale frequenza prevedi di sostituire una serratura connessa a Internet? In genere ci aspettiamo che tali dispositivi durino per decenni, non per un paio d’anni (finché il produttore non ritira il supporto o fallisce).

Allora, cosa fare?

Dovrebbe essere chiaro che tutte le serrature (non solo quelle smart) possono essere violate. Tuttavia, quando si decide di installare un dispositivo smart al posto di una serratura standard, è opportuno riflettere bene: è davvero necessario poter aprire la porta dallo smartphone? Se la risposta a questa domanda è affermativa, considera almeno i seguenti punti:

  • Cerca informazioni sul particolare dispositivo prima dell’acquisto.
  • Leggi non solo le recensioni sulla praticità e le funzionalità della serratura smart, ma anche i report su potenziali problemi e rischi.
  • Scegli un dispositivo recente: è probabile che il fornitore manterrà il supporto più a lungo.
  • Dopo aver acquistato un dispositivo, studiane le funzionalità di rete e valuta attentamente se ne hai bisogno: è consigliabile disabilitare tutto ciò che potrebbe essere pericoloso.
  • Non dimenticare di proteggere i computer, soprattutto se si trovano nella stessa rete della serratura smart. Non sarebbe di certo piacevole se un’infezione malware nel computer causasse anche l’apertura delle porte di casa.
Consigli