Cambiano i dispositivi, ma non le minacce: i dispositivi “indossabili” e la sicurezza

L’interesse e le polemiche sorte attorno questi nuovi dispositivi “indossabili” sono aumentate soprattutto in seguito al lancio di alcuni prodotti Apple e Google. Dopo i Google Glass, assistiamo ora al lancio di un nuovo prodotto “indossabile”: l’Apple Watch. Ma la preoccupazione verso la loro sicurezza non accenna a diminuire.

Una volta, la parola “indossabile” era un aggettivo utilizzato principalmente nell’ambito dell’abbigliamento ed indicava un capo facile da indossare. Oggi, invece, questo termine viene utilizzato anche per riferirsi ad un dispositivo mobile che gli utenti possono appunto “indossare” sul proprio corpo.

L’interesse e le polemiche sorte attorno questi dispositivi “indossabili” sono aumentate soprattutto in seguito al lancio di alcuni prodotti marcati Apple e Google. Dopo i Google Glass, assistiamo ora al lancio di un nuovo prodotto “indossabile”: l’Apple Watch.

Il mio collega Alex Savitsky, in un articolo che verteva sulla sicurezza delle nuove piattaforme di pagamento Apple, ha riassunto le caratteristiche dei tre modelli di Apple Watch e i relativi profili di utenti; tuttavia, mi piacerebbe trasformare i tre modelli e farli diventare quattro: 1) le persone che testardamente rifiutano di comprare prodotti Apple come se Steve Jobs li avesse insultati; 2) le persone che non fanno altro che parlare di quanto i prodotti Apple siano peggiorati dopo il “tanto amato Macbook Pro” con display retina; 3) le persone che comprerebbero qualsiasi porcheria targata Apple e trollano le sezioni commenti di coloro che suggeriscono che le iPorcherie sono sempre le stesse porcheria; 4) infine, la gente che si entusiasma ogni volta che esce un prodotto nuovo con nuove funzionalità ed usi.

Citando un altro collega, in questo caso Peter Beardmore, e applicando le sue parole in un altro contesto, l’utente con maggiori possibilità pagherebbe per uno qualsiasi di questi prodotti “appena sfornati”, sia che si tratti dell’Apple Watch, dei Google Glass o di una lavatrice che vi chiede come è andata la vostra giornata e che vi ascolta quando vi lamentate del fatto che nessuno al lavoro vi apprezza; tuttavia, non viene quasi mai tenuto in considerazione il fattore sicurezza.

Ed è proprio qui che sta il problema: questi dispositivi innovativi corrono gli stessi rischi dei dispositivi tradizionali, anzi a volte sono più vulnerabili perché i dispositivi innovativi finiscono col affrontare “minacce innovative”. E Apple Watch, come il suo stesso nome “orwelliano” suggerisce, farà proprio quanto promette: vi osserverà. L’orologio della Apple, come anche tutti gli altri dispositivi indossabili, osserveranno quello che fate, raccogliendo informazioni su di voi, inviando i dati ad un sacco di aziende terze.

In un recente articolo di Securelist, Roberto Martinez, Security & Malware Analyst del Global Research and Analysis Team di Kaspersky Lab, ha toccato il nodo centrale della questione. Nel suo articolo, di cui vi proponiamo un estratto, ha esaminato i risvolti positivi e negativi di Google Glass:

“I dispositivi, sia quelli nuovi che quelli già esistenti, hanno un sacco di cose in comune: usano lo stesso protocollo e si connettono ad altri dispositivi usando applicazioni simili. I vettori di attacco tradizionali interessano soprattutto i livelli di rete, come avviene nei Man-in-The-Middle (MiTM), lo sfruttamento di alcune vulnerabilità del sistema operativo o le applicazioni stesse. Essendo basati su Android, i Google Glass potrebbero ereditare vulnerabilità conosciute trovate in altri dispositivi con lo stesso OS”.

Martinez continua descrivendo un attacco incredibilmente semplice, scoperto inizialmente dall’azienda di sicurezza mobile Lookout. Pare sia possibile sintonizzare Google Glass con Internet attraverso i codici QR generati da una speciale app mobile. Quando Google Glass vede questi codici, si connette automaticamente alla rete. In questo modo, tutto quello che Lookout deve fare per finire l’operazione è creare il suo proprio codice QR, costringere Google Glass a visualizzarlo e in questo modo il dispositivo viene associato ad una rete wireless sotto controllo di un agente potenzialmente dannoso. Questo è un perfetto esempio di come una vecchia minaccia (codici QR dannosi) possa finire per interessare a tutti gli effetti anche questi nuovi dispositivi.

“Un altro rischio potenziale risiede nel fatto che, a differenza di un computer o di un dispositivi mobile, l’interfaccia di Glass naviga per ‘card’ per scorrere attraverso le diverse applicazioni e impostazioni, limitando le opzioni di configurazione e, in certi casi, automatizzando certe procedure e funzioni con un piccolo input da parte dell’utente, come nel caso della connessione ad una rete o della condivisione di informazioni” spiega Martinez. “Questa automazione apre le porte allo sfruttamento del dispositivo da parte degli hacker e alla violazione della privacy dell’utente”.

In un attacco tecnico realizzato all’interno di un laboratorio, Martinez ha usato uno strumento per indurre Google Glass a connettersi ad una rete dannosa, facendogli credere che si stava connettendo ad una legittima. Questa, afferma il ricercatore, potrebbe avere implicazioni se un utente Google Glass stesse cercando di connettersi a una porta Wi-Fi pubblica.

Durante il test si resero conto che, nonostante molte delle ricerche effettuate dai loro target (come quelle su Google e su altri motori) erano crittografate, un buon numero di altri dati erano in plain text.

“Abbiamo trovato molte informazioni in formato visibile che riguardavano la navigazione dell’utente verso siti di compagnie aeree, hotel, luoghi turistici nonché come e dove gli utenti si erano connessi con i propri dispositivi. Nulla di troppo sensibile, ma comunque dati utili per analisi comportamentali”.

In definitiva, Martinez osserva che la sicurezza dovrebbe essere tenuta in maggiore considerazione come parte di un layer approach. Ogni livello ha bisogno di essere tenuto presente e protetto per mettere al sicuro i dati degli utenti.

“In questo caso, il livello di rete potrebbe essere esposto dato che il dispositivo può connettersi ad una rete pubblica, e siccome non dispone di una connessione VPN, il traffico può essere catturato e analizzato” ragiona l’esperto.

“Nei prossimi mesi, questi nuovi dispositivi indossabili saranno destinati ad entrare nel mirino degli attacchi mirati, eventualità che evidenzia la necessità di prestare maggiore attenzione alla sicurezza di questi dispositivi, le loro capacità e le informazioni che gestiscono”.

Consigli