Un ricercatore ha scoperto che i robot da giardino Yarbo presentavano una serie di vulnerabilità che, tra le altre cose, consentivano a un malintenzionato di intercettare WiFi .
Il ricercatore di sicurezza Andreas Makris ha scoperto di poter prendere il controllo da remoto di migliaia di robot da giardino Yarbo in tutto il mondo, e lo ha dimostrato facendosi investire dal proprio tosaerba. La causa principale era un insieme di scelte progettuali "obsolete": tutti i robot condividevano la stessa password di root hardcoded, i tunnel remoti erano lasciati aperti e il protocollo di messaggistica MQTT (Message Queuing Telemetry Transport) era protetto in modo così insufficiente che, una volta ottenuto un dispositivo, si aveva di fatto il controllo dell'intera flotta mondiale.
Un malintenzionato potrebbe sottrarre coordinate GPS, indirizzi e-mail e password Wi-Fi, trasformare le telecamere in strumenti di spionaggio a distanza e persino riavviare il tosaerba dopo che qualcuno ha azionato l'arresto di emergenza.
Tutto ciò è stato reso possibile da un tunnel backdoor persistente che gli utenti non potevano né vedere né controllare in modo significativo. I rischi si dividevano in tre categorie ben distinte:
- Un tosaerba pesante dotato di lame controllabili a distanza e di un arresto di emergenza che può essere bypassato rappresenta un vero e proprio pericolo per la sicurezza.
- La telemetria esposta consentiva agli hacker di individuare la posizione dei dispositivi, scoprire chi ne fosse il proprietario e, secondo alcune segnalazioni, persino visualizzare le immagini delle telecamere.
- L'uso improprio della rete tramite credenziali di root condivise consentiva ai robot compromessi di eseguire scansioni delle reti locali, rubare ulteriori dati o essere integrati in una botnet.
La risposta pubblica di Yarbo è insolitamente dettagliata per un fornitore di soluzioni IoT destinate al grande pubblico. È inoltre piacevolmente schietta nell'ammettere che le principali conclusioni del ricercatore erano corrette. L'azienda ha temporaneamente disattivato i tunnel di diagnostica remota, reimpostato le password di root, bloccato gli endpoint non autenticati e iniziato a eliminare i percorsi di accesso legacy non necessari.
Ma soprattutto, Yarbo promette cambiamenti strutturali:
- Credenziali univoche per ogni dispositivo.
- Rotazione delle credenziali Over-the-Air (OTA).
- Diagnostica remota verificata e basata su liste di autorizzazione.
- Referente dedicato alla sicurezza, con la possibilità di un programma di ricompensa per la segnalazione di bug.
È proprio questo il tipo di "igiene della sicurezza" a lungo termine che raramente vediamo illustrata con tanta chiarezza dopo un fiasco legato all'IoT.
Dal punto di vista della divulgazione e della risoluzione dei problemi, Yarbo sta agendo in modo corretto sotto molti aspetti: riconosce il merito al ricercatore, si scusa, dà priorità alle correzioni e spiega sia le soluzioni temporanee che i cambiamenti architetturali a lungo termine in un linguaggio comprensibile a tutti. Per chi acquista dispositivi connessi dotati di blade, questo livello di trasparenza costituisce un precedente positivo.
Tuttavia, Yarbo ha scelto espressamente di mantenere un tunnel di accesso remoto, sebbene dotato di controlli e registrazioni più efficaci, invece di offrire agli utenti la possibilità di disattivarlo o di rinunciarvi completamente.
Come proteggere i dispositivi IoT
Le vulnerabilità emerse nel caso Yarbo costituiscono una sorta di dimostrazione pratica di ciò chela legge statunitense «IoT Cybersecurity Improvement Act» intende prevenire nelle implementazioni del governo americano. Sebbene la legge non si applichi direttamente a Yarbo, i requisiti stabiliti dal National Institute of Standards and Technology (NIST) rispecchiano perfettamente ciò che è andato storto in questo caso.
Quindi, spetta comunque agli utenti assicurarsi di:
- Modifica le credenziali predefinite.
- Prima di acquistare un prodotto IoT, verifica se il fornitore metterà a disposizione degli aggiornamenti e quanto sia facile installarli. Una volta disponibili, procedi all'installazione degli aggiornamenti.
- Se possibile, collega i tuoi dispositivi IoT a una rete separata. Se disponibile, utilizza una rete Wi-Fi per gli ospiti o una VLAN separata.
- Disattiva ciò che non ti serve. Disattiva UPnP, l'accesso remoto, il controllo via cloud e i servizi non necessari se non li stai utilizzando attivamente.
- Se il router o la suite di sicurezza registrano le connessioni dei dispositivi IoT, controlla i registri alla ricerca di picchi anomali o destinazioni sconosciute.
Ammettiamolo, una finestra in incognito ha i suoi limiti.
Violazioni dei dati, commercio sul dark web, frodi creditizie. Malwarebytes Identity Theft monitora tutto questo, ti avvisa immediatamente e include un'assicurazione contro il furto d'identità.
