Tutti noi amiamo i nostri animali domestici. E cosa amano gli animali più di qualsiasi altra cosa? Le coccole e il cibo, ovviamente. O viceversa: prima il cibo, poi le coccole.
I moderni dispenser smart sono progettati per evitare che il tuo cucciolo soffra la fame o si annoi mentre tu non sei a casa. Ma qual è il livello di questi dispositivi in termini di cybersecurity? Non esattamente eccezionale…
Una ciotola intelligente per i nostri amici a quattro zampe
I dispenser smart stanno diventando sempre più popolari tra i proprietari di animali domestici che non possono stare a casa tutto il giorno. È difficile far comprendere a cani e gatti perché ogni mattina abbiamo la necessità di uscire, anziché restare in casa a loro disposizione per nutrirli, portarli a passeggio o giocare con loro. Ma con un dispenser smart almeno non soffriranno la fame.
I primi dispenser automatici erano dispositivi offline controllati da un timer e si limitavano a dosare le porzioni di cibo. Tuttavia, con la crescente diffusione dei sistemi smart home, anche questi dispositivi sono diventati sempre più complessi e hanno acquisito funzionalità extra. Ora, oltre a impostare un programma di erogazione del cibo, puoi anche monitorare e persino comunicare a distanza con il tuo animale domestico utilizzando il microfono, l’altoparlante e la fotocamera integrati. Molti modelli supportano anche il controllo vocale tramite alcuni dispositivi esterni, come ad esempio Amazon Alexa. A questo scopo, puoi connetterli al Wi-Fi di casa e gestirli tramite un’app sul telefono.
Come ogni dispositivo smart home dotato di fotocamera, microfono e accesso a Internet, naturalmente anche questi dispenser hanno immediatamente attirato l’interesse degli hacker. Abbiamo già ampiamente trattato i problemi relativi alla sicurezza delle telecamere IP. Gli hacker possono manipolare in remoto diversi dispositivi smart, ad esempio i baby monitor per molestare le babysitter e spaventare i bambini, gli aspirapolvere robot per scattare foto compromettenti dei proprietari o tracciare la planimetria della loro abitazione e persino le lampadine smart (!) per sferrare attacchi alle reti domestiche.
Ora è il turno dei dispositivi per animali domestici.
I punti deboli dei dispenser smart
I nostri esperti hanno esaminato la mangiatoia smart Dogness, piuttosto popolare, e hanno rilevato molte vulnerabilità che consentono a un utente malintenzionato di alterare il programma di erogazione del cibo, mettendo potenzialmente in pericolo la salute degli animali domestici o addirittura trasformando il dispositivo in un sistema di spionaggio. Alcuni dei problemi di sicurezza più frustranti includono l’uso di credenziali hardcoded, la comunicazione con il cloud in chiaro e un processo di aggiornamento del firmware non sicuro. Queste vulnerabilità possono essere sfruttate per ottenere l’accesso non autorizzato al dispenser smart e utilizzarlo come trampolino di lancio per attaccare altri dispositivi della rete domestica. Per ulteriori informazioni sulla metodologia di ricerca, consulta il nostro report dettagliato su Securelist. In questo post, ci limiteremo a esaminare le vulnerabilità rilevate e i rischi che comportano.
L’origine del problema
La principale vulnerabilità del dispenser smart Dogness è il server Telnet che consente l’accesso root remoto tramite la porta predefinita. Allo stesso tempo, la password del superutente è hardcoded nel firmware e non può essere modificata. Questo significa che un utente malintenzionato che estrae il firmware può facilmente recuperare la password e ottenere l’accesso completo al dispositivo e, di fatto, a qualsiasi dispositivo dello stesso modello, poiché hanno tutti la stessa password root. Basta acquistare lo stesso modello di dispenser e darsi da fare.
Effettuando l’accesso remoto tramite Telnet (per questo l’hacker deve ottenere l’accesso remoto alla rete domestica) con accesso root, un intruso può eseguire qualsiasi codice nel dispositivo, modificare le impostazioni e rubare dati sensibili, inclusi i filmati trasferiti dalla fotocamera del dispenser al cloud. La mangiatoia può così essere facilmente trasformata in un dispositivo di spionaggio, con una fotocamera grandangolare e un buon microfono.
Criptaggio, ci sei?
Oltre alla password root incorporata nel firmware e comune a tutti i dispositivi, è stata rilevata una vulnerabilità non meno grave: le comunicazioni con il cloud non sono criptate. Anche i dati di autenticazione vengono trasmessi in forma non criptata. Un utente malintenzionato non deve nemmeno preoccuparsi di estrarre la password root dal firmware: gli basterà intercettare il traffico tra la mangiatoia e il cloud, ottenere l’accesso al dispositivo e quindi attaccare altri dispositivi sulla stessa rete, mettendo a rischio l’intera infrastruttura domestica.
Alexa, abbaia!
Nonostante queste vulnerabilità, le sorprese non sono finite. Il dispenser Dogness può connettersi ad Amazon Alexa per il controllo vocale. Comodo, vero? Basta pronunciare una parola per attivare il dispenser tramite Alexa. Non hai nemmeno bisogno di tirare fuori il telefono.
Ancora una volta, come puoi immaginare, una sicurezza senza regole stringenti da parte degli sviluppatori ha delle conseguenze. Il dispositivo riceve i comandi da Alexa tramite MQTT (Message Queuing Telemetry Transport) e le credenziali di accesso vengono nuovamente scritte in chiaro direttamente nel file eseguibile. Anche in questo caso, le credenziali sono le stesse per tutti i dispositivi sul mercato. Pertanto, una volta connessa ad Alexa per il controllo vocale, la mangiatoia non è più solo tua.
Collegandosi al server MQTT, un hacker può raccogliere rapidamente gli identificatori di tutti i dispositivi simili connessi al server, ovvero tutti i dispenser i cui proprietari hanno deciso di utilizzare il controllo vocale. Successivamente, il cybercriminale può inviare uno dei comandi disponibili tramite il controllo vocale dal server MQTT a qualsiasi mangiatoia Dogness connessa ad Alexa con un identificatore noto.
Un criminale potrebbe inviare comandi per modificare il programma di erogazione e le quantità di cibo (concedendo al tuo animale domestico un pranzo degno di un re o obbligandolo al digiuno totale). Un altro effetto collaterale è che un utente malintenzionato potrebbe inviare ripetutamente al dispenser comandi appositamente predisposti, rendendo in tal modo inutilizzabile l’interfaccia dei comandi vocali.
Streaming, che tu lo voglia o no
Approfondendo l’esame, ci attendevano nuove sorprese, in particolare per quanto riguarda il caricamento di video nel cloud, da dove è possibile riprodurli in streaming sul telefono. Sebbene l’app mobile si connetta al server utilizzando il protocollo HTTPS sicuro, è emerso che la mangiatoia stessa trasmette i dati al cloud senza criptaggio, tramite il vecchio protocollo HTTP non sicuro. Inoltre, sia l’ID che la chiave di caricamento (che è hardcoded nei file binari) vengono trasmessi al server in chiaro.
Dato che la telecamera è progettata per registrare e trasmettere continuamente video al server, questa vulnerabilità consente agli autori degli attacchi di vedere e ascoltare tutto ciò che accade nel campo visivo del dispositivo.
Firmware poco affidabile
Infine, la ciliegina sulla torta: il processo di aggiornamento del firmware, vale a dire il mezzo con cui risolvere i problemi di cui abbiamo parlato sopra, è di per sé poco sicuro! Per eseguire l’aggiornamento, il dispenser scarica un file di archivio con il nuovo firmware dal server di aggiornamento tramite il protocollo HTTP non sicuro. L’archivio è protetto tramite password, ma, come probabilmente avrai già intuito, questa password è scritta in chiaro in uno degli script di aggiornamento. Inoltre, l’URL da cui viene scaricata l’ultima versione del firmware viene generato in base alla risposta ricevuta dal server di aggiornamento, il cui indirizzo è, appunto, incluso nel firmware esistente.
Non esistono firme digitali né altri metodi per verificare il firmware: il dispositivo scarica l’archivio con il nuovo firmware su un canale non criptato, lo decomprime utilizzando la password incorporata (e comune a tutti i dispositivi) e lo installa immediatamente. Un utente malintenzionato potrebbe quindi modificare il firmware e caricare tutto quello che desidera nel dispositivo, aggiungendo funzionalità inaspettate e indesiderate.
Come restare al sicuro?
In un mondo ideale, tutti questi difetti di sicurezza sarebbero stati corretti dal produttore del dispenser tramite un aggiornamento tempestivo del firmware, prima che gli hacker ne venissero a conoscenza. Nel mondo reale, abbiamo ripetutamente segnalato i problemi al produttore. Tuttavia, da ottobre 2022 non abbiamo ricevuto risposta. Nel frattempo, tutte le vulnerabilità rilevate sono ancora presenti nelle mangiatoie smart Dogness disponibili in commercio. Questo rappresenta una seria minaccia per il benessere degli animali e la privacy dei loro padroni.
Ti consigliamo di leggere la nostra guida dettagliata alla configurazione della sicurezza per gli ambienti smart home. La maggior parte delle indicazioni fornite in questo articolo è valida anche per i problemi dei dispenser smart di cui abbiamo parlato. In ogni caso, ecco alcuni semplici consigli per i possessori di mangiatoie per animali Dogness:
- Controlla regolarmente gli aggiornamenti del firmware.
- Non utilizzare Amazon Alexa per controllare il dispositivo Dogness.
- Disattiva lo streaming video nel cloud o posiziona il dispenser in modo che la videocamera non possa acquisire immagini private.
- Configura una connessione VPN sicura per accedere a Internet tramite un router che supporti la rete domestica: questo ridurrà notevolmente il rischio di attacchi mediante il protocollo HTTP non sicuro.
- Se il tuo router non è dotato di supporto VPN, crea una rete Wi-Fi guest a cui connettere il dispenser (ed eventuali altri dispositivi smart home poco sicuri). In questo modo potrai impedire attacchi ad altri dispositivi della rete domestica se un dispositivo smart non sicuro viene violato.
- Utilizza una soluzione di protezione affidabile per tutti i dispositivi di casa. Per una protezione completa di tutti i dispositivi domestici, l’ideale è un abbonamento Kaspersky Premium. La soluzione include accesso VPN ad alta velocità con larghezza di banda illimitata oltre al monitoraggio delle modifiche nella rete domestica per rilevare e rifiutare le connessioni non autorizzate.