Ebbene sì, noi di Kaspersky Daily dobbiamo aggiungere anche le toilette alla lunga lista di dispositivi che possono essere hackerati. Uno dei ricercatori presenti alla convention sulla sicurezza Black Hat di quest’anno ha sollevato la questione in una breve conferenza stampa durante l’evento. Mi sarebbe piaciuto trattare l’argomento subito dopo la conclusione della conferenza, ma alla fine ho deciso di concentrarmi su temi di maggiore impatto. In ogni caso, mi ero ripromesso di scrivere un articolo e quindi eccoci qua.
Lo scorso agosto, la società di sicurezza Trustwave ha allertato gli utenti delle smart toilet Satis: l’applicazione per Android dedicata contiene un codice Pin unico “hard-coded” (0000) per il segnale BlueTooth. Una volta inserito, qualsiasi persona potrebbe instaurare una connessione BlueTooth e modificare le impostazioni del WC. Grazie al codice Pin, un dispositivo Android può comunicare via BlueTooth con qualsiasi smart toilet Satis presente a breve distanza.
Per farla breve, i proprietari di questi “WC intelligenti” potrebbero diventare vittime di scherzi innocenti, ma anche di incidenti rischiosi o per lo meno fastidiosi.
Dopo aver scaricato l’applicazione per Android “My Satis”, s’inserisce il codice Pin per il BlueTooth in modo tale da collegare il dispositivo a qualsiasi smart toilet individuato dall’app (siamo onesti, una volta installata una smart toilet, è molto probabile che ce ne sia più di una in casa). A questo punto, si prende effettivamente il controllo del WC, e si può decidere di compiere vari “attacchi”, alcuni magari solo un po’ fastidiosi, altri davvero seccanti. Ad esempio, conferma Trustwave, “si può fare in modo che venga tirato lo sciacquone continuamente, causando un spreco di acqua sostanziale che si riflette poi nella bolletta”.
A mio parere è più preoccupante che un hacker possa alzare o abbassare la tavoletta del WC a proprio piacimento o che possa attivare all’improvviso altre funzionalità (come il bidet) e, sempre prendendo in prestito le parole di Trustwave, “causare disagio e sofferenza all’utente”.
Ovviamente le conseguenze non sono le stesse che hackerare di un microinfusore d’insulina o un’automobile, ma il malfunzionamento di un WC può comunque causare problemi.
In realtà non so esattamente cosa si possa fare per proteggersi da questo genere di attacchi. Sembra che LIXIL, la casa produttrice della smart toilet Satis, non abbia ancora risolto il bug. Un’opzione sarebbe bombardare l’azienda di e-mail per sollecitare l’intervento. Questi WC ultra-tecnologici hanno anche una sorta di “modalità di collegamento” che, solo se attiva, consente di inserire il Pin “hard-coded” all’interno dell’applicazione. O meglio, sarebbe possibile farlo comunque anche se disattivata questa modalità ma, citando Trustwave, sarebbe necessario “monitorare il traffico BlueTooth per conoscere l’indirizzo hardware del WC e poi procedere con il collegamento alla smart toilet” e si tratta di un’operazione complicata. Da un lato, quindi, disattivare la modalità di collegamento sembrerebbe una buona soluzione; dall’altro lato, però, che senso ha acquistare una smart toilet se poi non si possono inviare via smartphone i comandi desiderati? Un dubbio amletico…
C’è molta gente strana in giro, per non parlare dei burloni che abbiamo in casa, per cui il pericolo è sempre dietro l’angolo. È vero anche, però, che non c’è un ritorno economico nell’hackerare una smart toilet o nell’azionare a sorpresa il bidet mentre qualcuno sta usando il WC. In ogni caso, gli utenti di una smart toilet Satis devono convivere con la realtà che vari dispositivi Android possono interagire con un singolo WC, e che sono esposti al pericolo che qualcuno nelle vicinanze (per sbaglio o per scherzo) possa cambiare le impostazioni del WC attraverso l’app My Satis.