Podcast RSI – Tastiere e cuffie come grimaldelli: i rischi inattesi delle periferiche wireless
Questo è il testo della puntata dell’11 maggio 2026 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.
[CLIP: audio di tastiera]
La tastiera wireless che ho davanti a me è prodotta da una nota marca svizzera e funziona benissimo. I comandi che digito vengono trasmessi con precisione e senza tempi morti al computer, che li esegue prontamente. C’è solo un piccolo problema: la tastiera che sto usando non è quella che sta davanti al computer. Anzi, questa tastiera non è nemmeno nell’edificio nel quale si trova il computer in questione. È una cosiddetta “tastiera fantasma”: una seconda tastiera, associata allo stesso computer a insaputa dei legittimi utenti e proprietari e capace di comandarlo a distanza.
Molti non immaginano neanche che un computer possa avere due tastiere accoppiate contemporaneamente. Ma in realtà è addirittura una funzione prevista esplicitamente dal software di gestione delle tastiere di questa nota marca. Una funzione che un malintenzionato può sfruttare, per esempio, per immettere comandi distruttivi, alterare documenti aperti o fare altri danni da remoto.
Non vi preoccupate: non sono diventato un criminale informatico. Questo è semplicemente uno scenario immaginato ma plausibile, basato sulla dimostrazione alla quale ho assistito grazie agli esperti e alle esperte dell’Istituto nazionale di test per la cibersicurezza NTC, con sede a Zugo. Questo Istituto ha esaminato i rischi di sicurezza delle cosiddette periferiche wireless o senza fili, come appunto tastiere ma anche mouse, cuffie, webcam e microfoni, e ha pubblicato un rapporto che mette in luce le vulnerabilità profonde e decisamente inaspettate di questi dispositivi, che vengono sfruttate concretamente dagli intrusi informatici.
Vi racconto quali sono, e come rimediarle, in questa puntata datata 11 maggio 2026 del Disinformatico, il podcast mensile della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Benvenuti! Io sono Paolo Attivissimo.
[SIGLA di apertura]
I dispositivi senza fili sono una gran comodità. Una cuffia wireless non ha un cavo che possa impigliarsi o intralciare i movimenti dell’utente. Una tastiera wireless può essere tenuta in grembo, o piazzata anche a notevole distanza dal computer, senza doversi preoccupare di far passare chissà dove un cavo magari anche lungo e antiestetico. Un microfono senza fili permette a chi lo usa di muoversi liberamente nell’ambiente, senza il rischio di inciampare in un cavetto o di strattonarlo inavvertitamente, scollegandolo sul più bello.
Ma questa comodità ha un prezzo. Sostituire un pezzo di filo con una connessione wireless significa che il dispositivo e il computer al quale va connesso devono essere dotati di un trasmettitore e ricevitore radio di qualche tipo, solitamente un Bluetooth. Significa anche che i segnali che normalmente viaggerebbero per natura sicuri e diretti dentro il cavo devono essere trasmessi e ricevuti in modo che vengano usati solo dal computer desiderato e non da tutti gli altri computer nelle vicinanze. Questa comunicazione selettiva viene chiamata pairing. Bisogna poi proteggere questa comunicazione contro le intercettazioni e le interferenze intenzionali, usando la crittografia, in modo che il computer comunichi solo con il dispositivo desiderato e non con altri e viceversa. Tutto questo comporta complessità e software di configurazione e comunicazione, e crea nuovi punti deboli nella sicurezza.
Un esempio banale ma familiare di cosa succede quando i produttori danno precedenza alla comodità e alla facilità d’uso rispetto alla sicurezza è dato dai telecomandi per le presentazioni o per le TV. Molti di questi oggetti (tecnicamente si chiamano periferiche) tentano di accoppiarsi con qualunque dispositivo che incontrano, senza PIN o password. Lo fa, per esempio, l’Audi di qualcuno (non so chi) che periodicamente passa sulla strada davanti al mio ufficio e tenta ogni volta di fare pairing con il mio monitor principale, che è un televisore LG altrettanto promiscuo. Ho dovuto disattivare il Bluetooth del monitor per evitare il problema.
Molti anni fa andava di moda un orologio da polso che incorporava un telecomando universale a infrarossi e permetteva di prendere il controllo di qualunque televisore (e anche molti videoproiettori) in un luogo pubblico, cambiando canale o abbassando il volume, perché questi dispositivi erano e sono tuttora spesso completamente privi di pairing e crittografia. Oggi la stessa cosa si fa di solito con un Flipper Zero.
Se vi siete mai chiesti come fanno certi burloni a prendere il controllo dei monitor pubblicitari dentro le vetrine dei negozi e far mostrare a questi schermi immagini e video imbarazzanti, come si legge spesso nella cronaca locale, ora avete la risposta. E se siete titolari di questi monitor pubblicitari, coprite il sensore che riceve i segnali dal telecomando.
L’Istituto nazionale di test per la cibersicurezza (it.ntc.swiss) ha pubblicato un rapporto, disponibile anche in italiano, che ha esaminato a fondo la sicurezza dei dispositivi periferici attualmente usati in informatica e li ha trovati spesso carenti, anche nel caso di prodotti di grandi marche. “Molti dispositivi”, nota il rapporto, “vengono forniti con impostazioni predefinite non sicure, come password standard o interfacce attivate inutilmente, per facilitare l’assistenza” e questo significa fornire agli aggressori informatici dei punti di attacco in più.
Il rapporto illustra anche uno scenario reale che chiarisce quali sono i rischi, citando “una videoconferenza riservata presso un operatore di infrastrutture critiche. La rete è protetta, la connessione è crittografata end-to-end, il server è rinforzato e il laptop è protetto. Ma l’attaccante punta a qualcos’altro: con un’antenna nel parcheggio vicino, intercetta le comunicazioni radio non crittografate del microfono da tavolo wireless. Dopo pochi secondi, la conversazione riservata viene intercettata”. Come al solito, la sicurezza è una catena robusta quanto il suo anello più debole, e quell’anello debole in questo caso è un dispositivo che spesso non si pensa neanche che faccia parte della catena: un microfono senza fili che diffonde via radio la conversazione confidenziale senza adeguate protezioni.
Purtroppo non è facile, neppure per i responsabili della sicurezza informatica, sapere se un dispositivo periferico senza fili è realmente sicuro. Fare un’analisi tecnica di uno di questi oggetti costa molto di più dell’oggetto stesso, e quindi anche quando ci si rende conto del problema si tende a fidarsi delle dichiarazioni dei produttori.
L’Istituto nazionale di test per la cibersicurezza ha svolto una valutazione sistematica della sicurezza dei dispositivi periferici più usati nel Paese, concentrandosi su una trentina di prodotti di grandi nomi come Logitech, Yealink, Jabra, HP, Eizo e Cherry, ampiamente diffusi nelle organizzazioni nazionali e in particolare nelle infrastrutture critiche. I risultati sono stati decisamente illuminanti: “sono stati individuati oltre 60 rilievi di diversa criticità, tra cui 13 classificati come gravi e tre al livello di criticità più elevato”, dice il rapporto.
Questo rapporto cita, per esempio, il fatto che nel 2025 è stata scoperta una serie di vulnerabilità nei chip Bluetooth di un fabbricante, Airoha, che sono usati da molti marchi noti, come Bose, Jabra, JBL, Teufel, Sony e Marshall. Questo “consente agli attaccanti di dirottare la connessione Bluetooth” e “ascoltare di nascosto conversazioni riservate”. Nel 2026 sono state scoperte delle gravi falle nell’implementazione del protocollo Google Fast Pair, che “permettono di prendere il controllo di cuffie di produttori come Google, Sony, Xiaomi e OnePlus senza alcuna interazione da parte dell’utente, consentendo l’ascolto delle conversazioni ambientali e il tracciamento della posizione tramite la rete «Find My Device».”
In altre parole, una semplice cuffia wireless, di quelle usatissime per le videoconferenze, può diventare una “cimice” dall’aria assolutamente non sospetta e consente non solo di ascoltare una conversazione privata ma anche di pedinare il proprietario della cuffia in questione. Una tastiera wireless non sicura trasmette via radio, a chiunque sappia mettersi in ascolto, ogni cosa che digitate sui suoi tasti: mail, comunicazioni confidenziali, dati di carte di credito, informazioni anagrafiche, codici bancari, tutto [anche le password, ovviamente]. E comprare grandi marche non mette affatto al riparo da questi problemi.
I risultati del rapporto dell’Istituto sono stati comunicati in modo confidenziale ai produttori interessati, che in molti casi hanno risposto aggiornando firmware e software per correggere i problemi di sicurezza. In un caso, però, il produttore non ha rimediato entro i termini previsti. Il produttore in questione è EZCast Pro, che vanta 10 milioni di utenti in tutto il mondo per i propri dispositivi di trasmissione audio e video, che permettono di collegare un computer a un videoproiettore senza usare cavi.
All’esame dell’Istituto, il suo sistema di presentazione wireless EZCast Pro II ha manifestato “gravi errori di progettazione” che “danno luogo a vulnerabilità critiche: chiavi crittografiche codificate consentono l’accesso all’interfaccia di amministrazione e le password Wi-Fi possono essere derivate da identificativi osservabili pubblicamente.” Questo vuol dire che “un attaccante nel raggio di copertura radio può assumere il controllo completo del dispositivo e intercettare i contenuti dello schermo in forma non cifrata.”
Un malintenzionato può quindi vedere e registrare tutti i contenuti di una presentazione o di una riunione Zoom confidenziale mostrata sullo schermo di una sala conferenze tramite un EZCast Pro II, standosene comodamente in una stanza adiacente o anche all’esterno dell’edificio, in un luogo pubblico. Visto che il produttore non ha corretto le vulnerabilità entro i termini previsti, il caso è stato trasmesso all’Ufficio federale della cibersicurezza, che ha emesso un avviso ai sensi di legge.
Insomma, non occorre pensare sempre ad attacchi supersofisticati o basati sull’onnipresente intelligenza artificiale. A volte per scardinare la sicurezza di un’azienda basta una tastiera wireless non aggiornata. E i criminali informatici non sono stupidi: non attaccano mai frontalmente dove le difese sono più robuste. Cercano sempre il punto debole, l’appiglio iniziale, e poi lo usano per entrare sempre più a fondo nei sistemi informatici del bersaglio.
Ci sono però delle soluzioni, ed è qui che il rapporto dell’Istituto nazionale di test per la cibersicurezza si rende particolarmente utile e concreto.
Il primo passo per risolvere questo problema è cambiare mentalità. Come suggerisce l’Istituto, i dispositivi periferici, dalle tastiere ai microfoni alle cuffie alle webcam passando per scanner e stampanti, non devono essere considerati alla stregua di semplici accessori ma devono essere visti come componenti del sistema informatico a pieno titolo, come i computer e gli smartphone. Questo vuol dire stabilire delle regole severe per l’introduzione di tutti i dispositivi privati negli ambienti particolarmente sensibili, e significa farle capire e rispettare, anche durante il telelavoro, cosa non sempre facile. E bisogna anche entrare nell’ordine di idee che i dispositivi periferici non vanno mai lasciati incustoditi in luoghi pubblici o semipubblici. Una cuffia wireless lasciata accessibile in treno, per esempio, è trasformabile in una “cimice” informatica in una manciata di secondi.
Un altro passo utile è semplificare, riducendo la varietà dei dispositivi collegabili e definendo un catalogo vincolante di periferiche testate e approvate. Il rapporto, a questo proposito, segnala un altro aspetto poco considerato della questione: l’approvvigionamento, ossia da dove si acquistano i dispositivi. Sono infatti sempre più frequenti i cosiddetti supply chain attack, ossia gli attacchi informatici messi a segno colpendo non il bersaglio diretto ma i suoi fornitori. Una tastiera, per esempio, viene modificata cambiandone il software o installando un piccolo componente extra direttamente presso il fabbricante o più spesso il fornitore, facendola diventare così il cavallo di Troia perfetto. Bisogna quindi acquistare dispositivi solo tramite canali affidabili e autorizzati.
Il rapporto sottolinea anche la necessità di aggiornare costantemente e tempestivamente il software o firmware di questi dispositivi, per chiudere eventuali falle di sicurezza scoperte e rimediate, e di sostituire le periferiche non più aggiornate e vulnerabili. Quella bella tastiera della Kensington che vi piace tanto e che avete comprato dieci anni fa è probabilmente da cambiare, perché Kensington è una delle tante aziende le cui vecchie tastiere trasmettevano senza alcuna crittografia ed erano quindi totalmente intercettabili con meno di 100 dollari di attrezzature, come dimostrò nel 2016 la società di sicurezza informatica Bastille Networks. Le altre aziende erano Anker, EagleTec, General Electric, Hewlett-Packard, Insignia, Radio Shack e Toshiba.
Ci sono poi raccomandazioni più tecniche, come la cosiddetta segmentazione della rete, ossia la prassi di assegnare a questi dispositivi, se usano il Wi-Fi, una rete Wi-Fi separata, tutta loro, isolata da quella dell’azienda, in modo che per esempio una webcam senza fili non diventi un punto di ingresso nella rete aziendale, come accadde a una nota azienda italiana del settore, Hacking Team, nel 2016.
Ma alla fine, la raccomandazione di fondo dell’Istituto nazionale di test per la cibersicurezza è semplice e radicale: almeno negli ambienti ad alta sicurezza, dice il suo rapporto, “dovrebbero essere privilegiate soluzioni periferiche cablate” perché ottenere un’elevata sicurezza con dispositivi senza fili è sì possibile, ma “le connessioni fisiche eliminano in larga misura i rischi legati alla trasmissione di segnali wireless e riducono in modo significativo la superficie di attacco.”
Insomma, il buon vecchio cavo si prende la rivincita.
