Vai al contenuto

Lampadine digitali anticoncorrenza

Le lampadine del sistema Hue della Philips sono molto interessanti per gli appassionati di domotica: possono essere comandate a distanza tramite la rete Wi-Fi domestica e una trasmissione senza fili basata sullo standard ZigBee. Poter dire per esempio a Siri, sul proprio telefonino, “Abbassa le luci in soggiorno del 30%” ti fa sentire un po’ nel futuro alla Star Trek. Ma c’è un problema: la compatibilità.

Pochi giorni fa Philips ha infatti deciso, tramite un aggiornamento software, che il sistema Hue non avrebbe più gestito le lampadine smart di altre marche che usano lo stesso standard di comunicazione e controllo. La giustificazione data dall’azienda è “questioni di interoperabilità”, ma i maliziosi hanno sospettato un’altra spiegazione: sabotare la concorrenza. Stranamente, le lampadine concorrenti già installate continueranno a funzionare, dice Philips; soltanto quelle aggiunte in seguito verranno rifiutate.

Ma c’è una buona notizia: i consumatori sono insorti e Philips ha fatto dietrofront. Invece di accettare soltanto le lampadine certificate dall’azienda, ora verrà distribuito un nuovo aggiornamento software che rimetterà tutto come prima. Philips si è affrettata a sottolineare che le lampadine concorrenti potranno continuare ad avere problemi di compatibilità, per esempio rifiutandosi di variare luminosità o assumendo un colore sbagliato. Ma perlomeno saranno usabili.



Fonti: Engadget

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Braccialetto Fitbit infettabile troppo facilmente? Fortinet dice di sì, Fitbit nega

Braccialetto Fitbit infettabile troppo facilmente? Fortinet dice di sì, Fitbit nega

Nuove frontiere dell’Internet delle Cose, o meglio, dell’Internet delle Cose Insicure: il braccialetto di fitness Fitbit Flex può veicolare infezioni informatiche ed è attaccabile a distanza in dieci secondi. Si tratta della prima dimostrazione pratica di un attacco informatico condotto sfruttando un dispositivo digitale di monitoraggio dell’attività fisica.

La ricercatrice Axelle Apvrille, della società di sicurezza Fortinet, descrive in dettaglio la tecnica che ha usato per questo virtuosismo informatico, che per ora è puramente dimostrativo (video) e non è in circolazione: un aggressore situato nelle immediate vicinanze della vittima manda al braccialetto, via Bluetooth, un apposito pacchetto di dati infetto, e poi si allontana. Il braccialetto accetta il pacchetto senza fare alcun controllo e la fase attiva dell’attacco è già conclusa.

Quando la vittima sincronizza il braccialetto con i server della Fitbit per aggiornare il proprio profilo, lo scambio di messaggi contiene i dati infetti. Dato che il braccialetto viene spesso collegato a un computer, il codice infetto può essere recapitato al computer per infettarlo, per esempio per aprire una backdoor, causare un crash oppure propagare l’infezione ad altri braccialetti.

L’attacco è particolarmente subdolo perché l’utente non si aspetta che un braccialetto di fitness possa essere un bersaglio e un veicolo d’infezione, e non è l’unico successo di Apvrille, che è riuscita ad alterare il numero di passi contati e la distanza percorsa per guadagnare punti che possono essere convertiti in sconti e premi.

Fitbit è stata avvisata della falla a marzo scorso da Fortinet, ma non
l’ha ancora corretta. Ora che la falla è stata resa pubblica può darsi
che cambi idea, ma l’azienda ha dichiarato senza mezzi termini che “le questioni di sicurezza segnalate sono false e i dispositivi Fitbit non possono essere usati per infettare gli utenti con del malware”.

Non è la prima volta che questo braccialetto di fitness viene colto in fallo: nel 2013 emerse che era possibile falsificare le informazioni di login per accedere a qualunque account Fitbit e vincere premi, mentre nel 2011 le attività amorose degli utenti furono rese pubbliche tramite ricerche via Web che permettevano di sapere chi si era dedicato a sforzi “energici” oppure “passivi e leggeri”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dischi rigidi wireless Seagate hanno accesso nascosto. Account: root, password: root

Dischi rigidi wireless Seagate hanno accesso nascosto. Account: root, password: root

Facepalm formato Godzilla meritatissimo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giampi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/09/08 11:00.

Non ci posso credere. Seagate, notissima marca di dischi rigidi, ha messo in vendita dei dischi accessibili via Wi-Fi lasciando nel firmware un accesso nascosto (raggiungibile via riga di comando con telnet) che permette a chiunque di leggere e scrivere sul disco stesso. Basta sapere il nome dell’account, che è un prevedibilissimo root, e indovinare la password di quest’account, che è ancor più prevedibilmente root.

I modelli contenenti questa simpatica funzione non documentata sono i Seagate Wireless Plus Mobile Storage, i Seagate Wireless Mobile Storage e i LaCie FUEL. La segnalazione proviene dal CERT.

Come se non bastasse questa falla, questi stessi dispositivi hanno altre due falle che permettono a chiunque di scaricare e, rispettivamente, caricare file di qualunque tipo via Wi-Fi.

Immaginate quindi chi compra questo genere di disco rigido pensando che sia un modo pratico per avere qualche cavo in meno in giro e poi scopre che chiunque può scaricarne il contenuto e può anche alterarlo, per esempio mettendovi versioni infette di applicazioni e copie taroccate di documenti oppure iniettandovi file compromettenti (“Caro, aspetta, posso spiegarti tutto, quel video con il burro di arachidi e il labrador me l’ha messo sul disco un hacker via Wi-Fi”).

Seagate ha pubblicato un firmware aggiornato, ma resta da vedere quanti clienti ne verranno informati e rimedieranno. Forse questa foga modaiola di eliminare i cavi (il cosiddetto cord-cutting) in favore delle connessioni senza fili andrebbe ragionata un attimo.

Aggiornamento (2015/09/08): Rispondo qui ai molti commenti che chiedono che senso abbia un disco rigido Wi-Fi, dato che comunque ha bisogno di almeno un cavo (l’alimentazione). Per esempio, ha senso se devo condividere lo stesso disco fra più utenti, specialmente in modo estemporaneo (vai a una festa, piazzi il tuo disco in condivisione, meglio se in sola lettura, e lasci che tutti ne scarichino foto, film o altro), oppure se il disco ha un filesystem non gestito dal dispositivo che vi vorrebbe accedere (un Mac che vuole scrivere su un disco NTFS, per citare un caso ricorrente).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Fiat Chrysler richiama migliaia di SUV Renegade USA: sono sabotabili via Internet

Fiat Chrysler richiama migliaia di SUV Renegade USA: sono sabotabili via Internet

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di giovanni.ga*. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento, come ha fatto cavez86.

Ricordate le auto della Fiat Chrysler alle quali era possibile per esempio sabotare i freni attraverso la loro connessione a Internet? 1,4 milioni di auto da richiamare e una figuraccia epica. Sembrava che l’idea spettacolarmente stupida di collegare il sistema di intrattenimento di bordo (connesso a Internet) con i sistemi di guida fosse limitata a quei veicoli, ma adesso salta fuori che anche le Jeep Renegade dotate di uno specifico sistema di intrattenimento sono vulnerabili.

FCA ha infatti richiamato 7810 Jeep Renegade vendute negli Stati Uniti per un difetto software analogo che però riguarda un tipo di autoradio diverso da quello già noto come vulnerabile. Circa metà degli esemplari è ancora presso i concessionari; i proprietari delle auto già vendute riceveranno una chiavetta USB, simile a quella mostrata qui sopra (riguardante la falla precedente), che dovranno usare per aggiornare il software dell’auto.

Ebbene sì: i geni della sicurezza di FCA, quelli che hanno avuto la pensata di collegare a Internet i sistemi vitali delle auto, adesso hanno “risolto” questo difetto spettacolare di progettazione mandando una chiavetta USB per posta. Sono solo io a vedere la falla fondamentale di sicurezza in questo approccio? L’idea che qualcuno potrebbe mandare ai clienti lettere false contenenti chiavette con software per infettare le auto è, presumo, ovvia per chiunque sia abituato a ricevere (e cestinare) le solite mail del finto supporto tecnico di Windows che invitano a cliccare per scaricare un “importante aggiornamento di sicurezza”. A quanto pare non è ovvia per FCA. Fossi un proprietario di un’auto attaccabile via Internet, l’ultima cosa che farei è installarci su roba ricevuta su una chiavetta per posta: butterei via la chiavetta e andrei dal concessionario a farmi fare l’aggiornamento (opzione peraltro prevista da FCA nella lettera).

Episodi come questo dimostrano che l’industria dell’Internet delle Cose deve ancora imparare le lezioni fondamentali di sicurezza che la comunità informatica ha capito a furia di bastonate e scottature. Solo che qui il rischio non è di trovarsi col computer impallato, ma di trovarsi con l’auto senza freni in discesa.

Fra l’altro, se siete curiosi di sapere cosa c’è su una chiavetta di questo genere, qualcuno ha caricato su Dropbox una sua immagine ISO, ovviamente da non usare per fare aggiornamenti di auto. Buono studio, e prudenza.

Fonti aggiuntive: Mikko HypponenThe Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Comandare un fucile di precisione via Wi-Fi? Ma che bell’idea

Comandare un fucile di precisione via Wi-Fi? Ma che bell’idea

La texana Tracking Point fabbrica costosi fucili di precisione a puntamento computerizzato: il tiratore indica il bersaglio nel mirino e poi il fucile decide quando tirare il grilletto perché la canna è correttamente puntata verso il bersaglio. Con un sistema del genere, qualunque dilettante dalla mano malferma può credersi un tiratore scelto.

C’è un piccolo problema: il fucile informatizzato è collegabile via Wi-Fi a un computer esterno. Già l’idea di avere un fucile collegabile tramite Wi-Fi può sembrarvi un tantino imprudente, ma c’è di più: il collegamento è bidirezionale, nel senso che permette al fucile anche di ricevere comandi in ogni momento. Ciliegina sulla torta, la password del Wi-Fi del fucile non è modificabile.

Ci vuole una dose rara d’incoscienza per progettare un’arma in questo modo. Il risultato è facilmente prevedibile: i ricercatori di sicurezza Runa Sandvik e Michael Auger hanno dimostrato che è possibile prendere il controllo completo del fucile della Tracking Point a distanza, via Wi-Fi, alterandone i parametri di sparo e quindi facendogli mancare completamente il bersaglio oppure disabilitandolo del tutto.

In un video eloquentissimo, Sandvik e Auger mostrano come manipolano il software del fucile per fargli colpire il bersaglio accanto a quello mirato.

Dovrebbero chiamarla la Regola del Comandante Adama (protagonista della serie Battlestar Galactica ed epicamente riluttante – pienamente a ragione – a mettere in rete i sistemi d’arma): se ti può uccidere, non interconnetterlo.

Fonti: Wired, CNN, Sophos.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quant’è facile attaccare i cartelloni pubblicitari digitali, se la password è ovvia

Quant’è facile attaccare i cartelloni pubblicitari digitali, se la password è ovvia

Il cartellone in questione dopo l’intervento riparatore

Se un informatico ti avvisa di una falla di sicurezza, ascoltalo: non mandarlo via in malo modo. Questa è la lezione imparata nel modo più amaro da una società statunitense che gestisce cartelloni pubblicitari digitali.

L’informatico in questione è Dan Tentler, che durante una ricerca di sicurezza effettuata usando Shodan si è accorto di una lacuna di sicurezza clamorosamente dilettantesca nei cartelloni pubblicitari, e in particolare in quelli della Yesco: questi cartelloni, che sono in sostanza dei giganteschi monitor collegati a un computer, erano connessi a Internet. Già questa è un’idea stupida, ma c’è di più: non c’era alcuna protezione, nessun firewall, nessuna password. O se c’era una password, era la più idiota che si potesse immaginare: il nome dell’azienda.

Diligentemente, Tentler ha contattato la Yesco per avvisare del problema. La risposta della Yesco? Non erano interessati.

Tentler aveva segnalato pubblicamente il problema senza fare nomi e senza fornire dettagli specifici, ma la semplice menzione dell’idea che i cartelloni pubblicitari digitali fossero stupidamente connessi a Internet ha ispirato qualcuno a cogliere l’occasione per una dimostrazione molto eloquente.

Ad Atlanta, in Georgia, uno di questi cartelloni è stato riprogrammato per mostrare un’immagine maschile estremamente pornografica, molto conosciuta in Rete (non vi consiglio di cercarne i dettagli se non volete che vi rimanga impressa a vita), creando allarme e scompiglio fra i passanti e addirittura allertando l’FBI, come racconta la TV locale.

Il rimedio drastico all’immagine gigantescamente imbarazzante è stato quello di spegnere la corrente al cartellone. Poteva andare molto peggio: gli aggressori avrebbero potuto prendere il controllo di migliaia di questi cartelloni, che tuttora sono privi di protezione informatica adeguata. Le parole del presidente dell’associazione dei pubblicitari della Georgia suonano decisamente stonate: “Il nostro settore ha stabilito dei protocolli chiari e severi sulla sicurezza per prevenire le violazioni informatiche dei cartelloni pubblicitari digitali”. Sarà, ma evidentemente non le fa rispettare. E purtroppo sono tante le aziende che connettono i propri prodotti a Internet senza curarsi minimamente della loro sicurezza e di quello che un malintenzionato, o semplicemente un burlone, potrebbe fare.

Fonte aggiuntiva: Gawker.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Arriva il bikini connesso antiscottature. Siamo all’Internet delle Cosce

Arriva il bikini connesso antiscottature. Siamo all’Internet delle Cosce

Si avvicina il momento delle vacanze e soprattutto per chi si reca al mare c’è il consueto dramma della scottatura. Ma perché angosciarsi, quando c’è l’Internet delle Cose che viene in nostro soccorso?

Da un’azienda francese arriva la soluzione tecnologica per chi è troppo distratto a chattare sui social per rendersi conto spontaneamente che si sta abbrustolendo: un “bikini connesso”, dotato di un sensore impermeabile di raggi ultravioletti che rileva anche la temperatura e avvisa tramite lo smartphone, tenendo conto del fototipo della pelle dell’utente, quando l’esposizione al sole rischia di essere eccessiva.

Il bikini connesso non è a buon mercato: costa 149 euro, ma per chi vuole risparmiare è disponibile anche l’asciugamano connesso, a soli (si fa per dire) 99 euro. Chi non ha buon senso abbia soldi, insomma.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Se il braccialetto digitale di fitness fa la spia

Se il braccialetto digitale di fitness fa la spia

I dispositivi digitali che usiamo raccolgono informazioni su di noi in mille maniere, molte delle quali sono talmente discrete che non ci facciamo caso. O meglio, non ci facciamo caso, e ci sembrano comunque raccolte innocue, fino al momento in cui si ritorcono contro di noi.

Lo sa bene, per esempio, la signora Jeannine M. Risley, che a Lancaster, in Pennsylvania, ha denunciato alla polizia di essere stata violentata da un intruso, che l’aveva aggredita di notte mentre lei dormiva nella stanza degli ospiti del proprio datore di lavoro il 10 marzo scorso.

Gli inquirenti si sono insospettiti quando hanno notato che nella neve che circondava l’abitazione non c’erano impronte e in casa non c’erano segni d’intrusione. Ma la signora è stata inchiodata definitivamente dal proprio braccialetto digitale di fitness, che secondo la donna era andato perso nella colluttazione e invece è stato ritrovato in un corridoio: gli inquirenti hanno scaricato dal braccialetto il registro delle attività e hanno scoperto che all’ora della presunta aggressione nel sonno la signora Risley era in realtà sveglia e anzi aveva camminato tutta la notte.

Un possibile movente per la menzogna è il suo recente licenziamento, del quale era stata preavvisata pochi giorni prima; ora la Riley si trova accusata di falsa denuncia e simulazione di reato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Anche Barbie farà la spia via Wi-Fi

Anche Barbie farà la spia via Wi-Fi

La nuova proposta di bambola della Mattel, denominata Hello Barbie, si collega a Internet via Wi-Fi ed è dotata di riconoscimento vocale. L’idea è che bambini e bambine parlino alla Barbie e ne ricevano delle risposte vocali interattive, creando un’esperienza coinvolgente.

Ma questo virtuosismo robotico-tecnologico implica degli effetti che vanno valutati bene prima di dare in mano ai minori una Barbie interattiva: le loro voci, infatti, vengono registrate e trasmesse a un server esterno. E la demo della Mattel mostra che Barbie fa ai bambini delle domande che li incoraggiano a condividere informazioni sui loro interessi e sulle loro famiglie. L’intento sembra proprio quello di usare la Barbie come strumento di raccolta di dati per il marketing. C’è anche il rischio che le conversazioni dei bambini contengano confidenze potenzialmente imbarazzanti.

Mattel ha dichiarato di essere “votata alla sicurezza” e che “Hello Barbie è conforme agli standard governativi”, ma abbiamo già visto con i social network, con le Smart TV e con altri dispositivi che come molte aziende antepongono i guadagni e la raccolta di dati alla privacy e alla sicurezza degli utenti. E se i vostri figli hanno bisogno di parlare con una bambola perché non hanno nessun altro con cui parlare, il problema non è più tecnologico.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
GoPro intercettabili via Wi-Fi

GoPro intercettabili via Wi-Fi

Si parla tanto di Internet delle Cose: tutto deve essere interconnesso. Si parla meno dei problemi di sicurezza e di privacy che quest’interconnessione può causare inaspettatamente.

Un esempio? Fate attenzione se avete usato le funzioni Wi-Fi della videocamera sportiva GoPro: la password che consente accesso alla videocamera e di vederne foto e video tramite smartphone era custodita in chiaro sul sito della GoPro.

Infatti il ricercatore di sicurezza informatica israeliano Ilya Chernyakov ha scoperto che c’era un difetto nella procedura di ripristino di nome e password Wi-Fi della GoPro, per cui l’identificativo SSID e la password della rete Wi-Fi create dalla videocamera venivano custoditi sul sito della GoPro in un file il cui link era facilissimo da indovinare (era basato su un numero progressivo). A titolo dimostrativo, Chernyakov ha scaricato le password di più di mille utenti GoPro.

In pratica questa falla consentiva a chiunque fosse a portata del segnale Wi-Fi di una GoPro di intercettarne le immagini e prenderne il controllo. Dato che queste videocamere vengono spesso usate non solo per riprese sportive ma anche per altre attività più intime, il rischio era significativo. La falla è stata notificata responsabilmente al produttore e ora è chiusa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.