Casa domotica: quali sono i rischi per la sicurezza dei dispositivi smart home?

Abitare in una casa domotica non è più un sogno alla portata di pochi, poiché le smart home sono una realtà sempre più diffusa grazie ai numerosi vantaggi che offrono e ai costi, sebbene ancora alti in partenza, facilmente ammortizzabili nel tempo.

Per sintetizzare i punti di forza di una smart home diremo che consistono nella comodità di attivare diverse funzioni con un tasto o con un comando vocale (climatizzazione, serrature delle porte, illuminazione, gestione degli elettrodomestici); nel gestire il sistema di videosorveglianza a distanza ed essere avvisati tempestivamente in caso di guasti; nel risparmio energetico che deriva da una corretta ottimizzazione delle risorse.

Tutto questo, però, comporta qualche preoccupazione riguardo la sicurezza dei device e dell’intera rete su cui sono installati, perciò è opportuno conoscere i rischi e capire come intervenire.

I rischi più comuni delle smart home

Cominciamo dalle statistiche: secondo una ricerca della Gartner, circa 2,9 miliardi di dispositivi consumer sono oggi collegati ad Internet e gran parte di questi sono device di building automation. Le aziende produttrici hanno dedicato un impegno maggiore nello sviluppo dei device, sempre più ricchi di funzioni, trascurando la sicurezza e lasciando così molte possibilità di attacco agli hacker.

Un report della Check Point ha dimostrato, ad esempio, come un cyber-attacker può sfruttare una rete Internet of Things (più precisamente delle lampadine smart) per prendere il controllo dei pc presenti in casa, ma anche in un’azienda o addirittura nelle smart city.

Questo è possibile perché ci sono delle vulnerabilità sul bridge del sistema di smart lighting Philips Hue, uno dei più diffusi, così i ricercatori hanno testato queste lampadine installando un firmware nocivo su una di esse e usandola per prendere controllo del bridge e attaccare la rete target.

Questa simulazione ha dimostrato i rischi per la sicurezza presenti nei device smart e, nel caso specifico, Signify (proprietario del marchio Philips Hue) ha rilasciato un aggiornamento del firmware con una patch che risolve il problema della vulnerabilità.

Non va sottovalutato il rischio dell’attivazione involontaria degli assistenti vocali come Google Assistant, Siri o Cortana e degli altoparlanti smart come Amazon Echo (Alexa) o Google Home, perché hanno un microfono che può attivarsi spontaneamente, anche senza che siano state pronunciate le parole di attivazione; questo significa che possono essere captate le conversazioni private e trasmesse ad Amazon o Google.

Queste attivazioni non intenzionali sono molto più frequenti di quanto si immagini: pensate che, in base ai dati di una ricerca della Northeastern University e dell’Imperial College di Londra, risulta che gli utenti attivano gli altoparlanti smart che hanno in casa da una volta e mezza fino a 19 volte al giorno (la fonte è qui: https://moniotrlab.ccis.neu.edu/smart-speakers-study-pets20/). Per risolvere questo inconveniente, il consiglio è di mettere in mute tutti questi device o scollegarli dall’alimentazione, soprattutto se si lavora da casa; per sapere cosa è stato captato dalle conversazioni e cancellare tutti i dati raccolti dagli assistenti vocali si può ricorrere a questa guida: gizmodo.com/how-to-find-and-delete-everything-youve-ever-said-to-yo.

Come migliorare la sicurezza di un sistema di domotica

Cosa occorre verificare per proteggere al meglio i propri smart home device? Iniziamo dal router: anzitutto bisogna cambiare l’eventuale password Wi-Fi di default e anche quella di amministratore (fate in modo che sia complessa e unica, cioè non usata per altri dispositivi), controllare che il firmware presente sia aggiornato, perché le falle di sicurezza vengono corrette solo con gli aggiornamenti, infine verificare che la funzione per gestire dall’esterno il router sia disattivata, poiché può essere rischiosa.

Il tema dell’obsolescenza dei device smart è particolarmente importante, perché un dispositivo non più aggiornabile diventa aggredibile da malintenzionati che possono così accedere all’intera rete e ottenere i dati che desiderano.

Consigli per la protezione degli smart home device

Una soluzione alternativa alla manutenzione dei device smart home può essere quella di affidarsi a servizi basati su cloud che si occupano anche della protezione dei vari device connessi, tuttavia questo non vuol dire che non bisogna curarsene direttamente, perché è già accaduto che sistemi di domotica come Fibaro siano stati attaccati proprio tramite server cloud.

In pratica, poiché Fibaro consentiva a chiunque di caricare e scaricare i dati di backup dello smart hub (dati non criptati), un cybercriminale poteva entrare in possesso dell’indirizzo e-mail con il quale è stato registrato l’account del padrone di casa, riuscire a scoprire le password più usate e, dal pannello dell’amministratore, sfruttare una delle vulnerabilità per ottenere i permessi di root.

In seguito, questa vulnerabilità è stata risolta ma dimostra come ci sia ancora molto da fare per quanto concerne la sicurezza dei device smart home.

Prima di procedere a un acquisto e di decidere quale sistema di domotica impiegare per casa propria, è opportuno fare una ricerca sul nome del brand o del device + vulnerabilità note, per farsi un’idea di quali possono essere le minacce specifiche per quel singolo dispositivo e quali contromisure adottare.