Vai al contenuto
Campanelli digitali colabrodo, Amazon incolpa gli utenti, ma EFF non ci sta

Campanelli digitali colabrodo, Amazon incolpa gli utenti, ma EFF non ci sta

Pochi giorni fa degli intrusi digitali sono entrati nella telecamera di sorveglianza Ring nella cameretta di una bambina di 8 anni in Mississippi e hanno cominciato a parlarle e prenderla in giro (c`è anche il video), sono avvenute varie altre intrusioni ed è emerso che sono stati pubblicati online 3600 indirizzi di mail, password, localizzazioni e altri dati personali di utenti Ring.

Amazon, fabbricante dei sistemi di sicurezza interconnessi Ring, si è difesa dando la colpa agli utenti: gli attacchi sarebbero andati a segno, dice Amazon, perché gli utenti hanno riutilizzato per i propri Ring delle password che usavano altrove ed erano già state rivelate da altri attacchi a questi altri servizi, e non hanno attivato l’autenticazione a due fattori.

La Electronic Frontier Foundation, però, nota che Amazon ha dimenticato un dettaglio tecnico importante: l’azienda si è accorta degli attacchi soltanto quando glieli hanno segnalati i ricercatori di sicurezza. E se le cose sono andate come dice Amazon, ossia se gli aggressori hanno tentato decine di migliaia di nomi utenti e password sul sito di Ring, Amazon avrebbe dovuto notare questo enorme numero di tentativi falliti e allertare gli utenti: un limite al numero di tentativi falliti è una prassi di sicurezza fondamentale, soprattutto quando ci sono di mezzo dati enormemente sensibili.

Le telecamere e i campanelli “smart”, infatti, vedono anche dentro gli spazi privati delle case, consentendo a criminali e ficcanaso di vedere in diretta chi c’è e non c’è, di riguardare le registrazioni video dei locali sorvegliati, acquisire la geolocalizzazione delle telecamere e quindi andare a colpo sicuro. Sicuro per loro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Hotel con robot in camera un po’ troppo violabili

Hotel con robot in camera un po’ troppo violabili

Credit: Japan Times.

Stare in un hotel in cui le camere sono dotate di robot può sembrare molto futuribile, ma è già realtà a Nagasaki, in Giappone, presso l’Henn na Hotel (il nome, a quanto pare, significa “hotel strano”). Tuttavia c’è un aspetto molto poco futuribile e assai concreto: i robot che gestiscono l’hotel sono un colabrodo di sicurezza.

Gizmodo e Graham Cluley descrivono infatti che i robot a forma di dinosauro o di fembot (robot femminilizzato) installati nelle camere infastidiscono gli ospiti reagendo erroneamente, per esempio attivandosi e svegliandoli quando russano perché i robot, dotati di microfoni di ascolto, interpretano il russamento come uno dei loro comandi vocali.

Il robot alla reception, invece, non è in grado di gestire nemmeno le domande più semplici, e il personale umano si è trovato costretto a fare gli straordinari per riparare i robot che si guastavano.

Ma non è finita: un ricercatore di sicurezza, Lance R. Vick, ha segnalato di aver avvisato i gestori della catena alberghiera che i robot da comodino presenti in ogni stanza sono facilmente modificabili per consentire a chiunque di spiare da remoto gli ospiti tramite il microfono e la telecamera integrati.

Non avendo ricevuto risposta dalla catena alberghiera, ha deciso di pubblicare i dettagli della vulnerabilità nella speranza che la figuraccia pubblica spingesse la catena a prendere provvedimenti.

Come capita spesso, la tattica dello svergognamento pubblico ha avuto successo e ora i media locali riferiscono che la catena, la HIS Group, ha riconosciuto che il difetto esiste e sta prendendo misure per risolverlo.

Senza arrivare a questi estremi di alberghi robotizzati, provate a fare un sopralluogo informatico della vostra prossima camera d’albergo e guardate se ci sono vulnerabilità informatiche: televisori smart con microfono e telecamera? Assistenti vocali da comodino, tipo Alexa o Google Home? Ma anche no, grazie. Copriteli o scollegateli, oppure chiedete agli albergatori di farlo per voi o di darvi una camera senza gadget. Meglio ancora, scegliete un albergo che non usi l’informatica in modo così appariscente ma vacuo e insicuro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il rosario “smart” non era molto smart

Il rosario “smart” non era molto smart

Naked Security segnala un caso davvero insolito di vulnerabilità informatica con rischi di privacy: un rosario “smart”.

Su Vatican News è stato presentato un rosario che si attiva quando l’utente sfiora la sua croce sensibile al tocco. Costa 110 dollari e si sincronizza con un’app, denominata Click to Pray (da non confondere con Plug and Play), che traccia le tappe dell’utente nella serie di preghiere e tiene conto anche dei passi fatti nel mondo fisico.

Purtroppo è emerso che l’app aveva una falla di autenticazione piuttosto grave: l’accesso tramite PIN di quattro cifre è facile da scardinare in vari modi, compreso il fatto che non c’è limite al numero di tentativi effettuabili tramite la API, per cui è semplicissimo tentare tutti i PIN con uno script fino a trovare quello giusto.

Entrando nell’account era possibile acquisire avatar, numeri di telefono, date di nascita e altri dati personali. Il ricercatore di sicurezza Baptiste Robert ha segnalato la cosa con discrezione ai responsabili, che hanno corretto la falla e ringraziato per la segnalazione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cose che non vorresti trovare in sala macchine: una scatola misteriosa collegata al motore della nave

Cose che non vorresti trovare in sala macchine: una scatola misteriosa collegata al motore della nave

La britannica Pen Test Partners racconta una storia informatica da brivido ambientata in un luogo che difficilmente si associa ai computer: la sala macchine di una nave.

Durante un test di sicurezza, l’azienda ha scoperto che a bordo di una nave (non identificata per riservatezza professionale) c’era un dispositivo ignoto collegato alla rete informatica Ethernet della nave.

Nessuno degli addetti sapeva cosa fosse e non ce n’era traccia nell’inventario della nave. Eppure era accoppiato a un terminale Windows situato sul ponte, la cui luminosità era così intensa che l’equipaggio l’aveva coperto per non farsi abbagliare. Nessuno si era fermato a chiedersi cosa ci facesse lì: tutti hanno pensato che se era lì, ci doveva pur essere una buona ragione. E così il dispositivo era rimasto lì, in bella vista.

L’analisi degli esperti ha rivelato che dal terminale Windows uscivano cavi che lo collegavano ai motori della nave, undici ponti più in basso. Il terminale sconosciuto era in grado di intervenire sui comandi principali dei motori. Ciliegina sulla torta, sul terminale era installata una vecchia versione, difettosa e vulnerabile, di TeamViewer, il popolare programma di controllo remoto.

In altre parole, una nave stava circolando con un sistema di comando a distanza di cui nessuno sapeva nulla e che tutti avevano notato e ignorato presumendo che servisse a qualcosa.

Gli esperti hanno proseguito le proprie indagini e hanno scoperto che il dispositivo Windows era stato installato alcuni anni prima per consentire a un’azienda esterna di monitorare i consumi di carburante e poi era stato dimenticato. La collaborazione con l’azienda era finita, ma nessuno aveva provveduto a spegnere e disinstallare il comando remoto.

Questo malcostume è assai diffuso. Pen Test Partners ha notato che “in ogni singolo test svolto finora abbiamo trovato un sistema o dispositivo che nessuno dei pochi membri d’equipaggio che sapevano della sua esistenza era in grado di dirci a cosa servisse”.

Morale della storia: anche se non avete la responsabilità di una nave, ogni tanto una ricognizione della propria rete aziendale alla ricerca di dispositivi obsoleti o non autorizzati è una buona cosa. Perché se non la fate voi, state sicuri che la farà qualcun altro, probabilmente con cattive intenzioni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lampadine così “smart” che le comandi anche dopo che le hai restituite

Lampadine così “smart” che le comandi anche dopo che le hai restituite

Se avete comperato o state pensando di comperare delle lampadine smart Philips Hue, fate molta attenzione: se sono state usate da qualcuno prima di voi, quella persona potrebbe averne ancora il controllo.

Lo ha scoperto John Aravosis, di Americablog, quando ne ha comprate alcune e le ha restituite ad Amazon. Si è accorto che le stesse lampadine sono state consegnate a un nuovo cliente, ma il comando delle lampadine è rimasto in parte a lui e gli arrivano aggiornamenti costanti sullo stato di questi dispositivi e sul Bridge che le collega. Aravosis vede anche il nome e cognome del nuovo acquirente e il suo indirizzo di e-mail.

La storia è raccontata qui, e si conclude con una decisione discutibile: dopo aver eliminato dal proprio account Philips le vecchie lampadine, Aravosis ha cancellato l’intero account, sperando che in questo modo non si sia cancellato anche quello della nuova acquirente.

Avete mai comprato lampadine smart? Le comprereste, considerando queste vulnerabilità?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Tracciatori GPS troppo pettegoli e promiscui. 600.000 hanno password "123456"

Tracciatori GPS troppo pettegoli e promiscui. 600.000 hanno password “123456”

 Ars Technica riferisce che circa seicentomila dispositivi di tracciamento GPS, utilizzati per il monitoraggio della localizzazione di bambini, anziani e animali domestici sono su Internet con una password assolutamente banale: 123456. Che è quella predefinita in fabbrica.

Si tratta di dispositivi a basso costo (da 2 a 50 dollari), molto compatti, in vendita nei grandi negozi online sotto vari nomi, come T8 Mini GPS Tracker Locator, e tutti fabbricati dalla Shenzhen i365 Tech.

I dispositivi trasmettono tutti i dati senza alcuna cifratura, e così i ricercatori di Avast Threat Labs hanno scoperto che chiunque si trovi sulla stessa rete usata dallo smartphone e dall’app Web utilizzati per gestire questi tracciatori può intercettarne il traffico di informazioni e anche modificarlo, per esempio mandando un messaggio ingannevole allo smartphone oppure cambiando le coordinate geografiche segnalate dal dispositivo.

I ricercatori hanno scoperto che grazie alla progettazione poco attenta è anche possibile fare in modo che il tracciatore chiami un numero di telefono scelto dall’aggressore e gli trasmetta qualunque audio sia a portata del microfono incorporato nel dispositivo. Ed è solo l’inizio, perché poi si possono effettuare attacchi man in the middle e altre cose simpatiche di questo genere.

In altre parole, un dispositivo che si compra per proteggere qualcuno in realtà lo rende più vulnerabile.

L’azienda è stata allertata, ma finora non ha risposto, per cui i ricercatori hanno deciso di pubblicare la scoperta facendo il nome del prodotto in modo da dare a chi lo usa la possibilità di informarsi. L’unico rimedio, purtroppo, è smettere di usarlo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Google smetterà di origliare le registrazioni di Assistant. Ma solo per tre mesi

Google smetterà di origliare le registrazioni di Assistant. Ma solo per tre mesi

The Verge segnala che il Commissario tedesco per la protezione dei dati ha annunciato che ha avviato una procedura amministrativa contro Google e ha ordinato all’azienda di smettere di dare ai dipendenti e ai collaboratori esterni le registrazioni delle voci degli utenti captate dai dispositivi dotati di Google Assistant, come gli altoparlanti smart e gli smartphone. Si tratta solo di una pausa temporanea di tre mesi, ma vale per tutti i paesi dell’Unione Europea.

Molti utenti pensano che questi dispositivi facciano riconoscimento vocale senza alcun intervento umano, ed è così: ma questo non vuol dire che quello che viene ascoltato dai microfoni di Google Home e simili non sia ascoltato da nessuno. Infatti un campione di queste registrazioni viene ascoltato da dipendenti di Google e di altre aziende collegate, allo scopo di verificare che il sistema automatico abbia capito correttamente quello che ha ascoltato.

Questo fatto è descritto da Google in un documento pubblico, ma non è noto a molti, e gli esperti hanno dimostrato che da queste registrazioni è possibile ricavare “informazioni personali — alcune delle quali sensibili – nella sfera privata e intima delle persone” e che “una parte non trascurabile delle registrazioni viene prodotta da attivazioni improprie”, ossia dal fatto che i dispositivi credono di aver sentito qualcosa che somiglia alla parola di attivazione e quindi si mettono a registrare e a trasmettere la registrazione a Google.

Il Commissario scrive inoltre che “l’uso di assistenti vocali automatici di fornitori come Google, Apple e Amazon si sta dimostrando molto rischioso per la privacy delle persone interessate. Questo vale non solo per le persone che usano un assistente vocale, ma anche per tutte le persone che vi entrano in contatto, per esempio se vivono in una casa in cui sono installati dispositivi come Google Assistant.” Oppure, aggiungo io, se visitano una casa nella quale è installato uno di questi dispositivi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Amazon conferma che non cancella tutto quello che dite ad Alexa. Neanche se glielo chiedete

Amazon conferma che non cancella tutto quello che dite ad Alexa. Neanche se glielo chiedete

Alexa, l’assistente vocale di Amazon, non cancella tutte le cose che registra, neppure quando l’utente glielo chiede (con comandi come “Alexa, cancella quello che ho appena detto” oppure “Alexa, cancella tutto quello che ho detto oggi”).

Lo segnala Gizmodo, citando una lettera pubblica del vicepresidente per le politiche pubbliche di Amazon, Brian Huseman, che dice che le trascrizioni automatiche di quello che è stato detto dagli utenti non sempre vengono eliminate. Amazon, dice la lettera, può decidere di conservare questi dati nonostante le richieste di cancellazione delle registrazioni degli utenti se includono per esempio richieste di abbonamento, ordini di pizza, acquisti online, impostazioni di sveglie, o messaggi agli amici.

Huseman spiega che Amazon conserva queste trascrizioni perché, dice, “i clienti non vorrebbero e non si aspetterebbero che la cancellazione della registrazione vocale cancellasse anche i dati di contorno o impedisse ad Alexa di svolgere il compito richiesto.”

Meglio tenerne conto, se usate questo genere di dispositivo: separate i vostri ordini dalle altre cose che dite in casa, sperando che Amazon le archivi altrettanto separatamente e quindi cancelli eventuali conversazioni confidenziali captate dai sensibilissimi microfoni di Alexa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quanti informatici ci vogliono per resettare una lampadina smart?

Quanti informatici ci vogliono per resettare una lampadina smart?

Molti hanno pensato che si trattasse di una burla, ma il video della General Electric che descrive il metodo assurdo ed esasperante per resettare una lampadina smart è reale.

Queste sono le istruzioni complete:

Use the first reset sequence if: Your bulbs are running on firmware version 2.8 or later (you can find your bulb firmware version by tapping on the device in your C by GE app).
We recommend counting with Mississippi (1 Mississippi, 2 Mississippi, 3 Mississippi, etc.).

Start with your bulb off for at least 5 seconds.
1. Turn on for 8 seconds
2. Turn off for 2 seconds
3. Turn on for 8 seconds
4. Turn off for 2 seconds
5. Turn on for 8 seconds
6. Turn off for 2 seconds
7. Turn on for 8 seconds
8. Turn off for 2 seconds
9. Turn on for 8 seconds
10. Turn off for 2 seconds
11. Turn on

Bulb will flash on and off 3 times if it has been successfully reset.

TIP: If the factory reset above was unsuccessful, you might have an older version of the C by GE bulb. Please follow the instructions below to reset.

Bulb Reset Sequence – for firmware version 2.7 or earlier:
We recommend counting with Mississippi (1 Mississippi, 2 Mississippi, 3 Mississippi, etc.).

Start with your bulb off for at least 5 seconds.
1. Turn on for 8 seconds
2. Turn off for 2 seconds
3. Turn on for 2 seconds
4. Power off for 2 seconds
5. Turn on for 2 seconds
6. Power off for 2 seconds
7. Turn on for 2 seconds
8. Power off for 2 seconds
9. Turn on for 8 seconds
10. Power off for 2 seconds
11. Turn on for 8 seconds
12. Power off for 2 seconds
13. Turn on

Bulb will flash on and off 3 times if it has been successfully reset.

Need assistance? Call the C by GE Customer Service Hotline at 1-844-30C-BYGE (1-844-302-2943), or email help@cbyge.com.

Se qualcuno avesse voluto riassumere in un solo video la demenzialità di certe istruzioni inventate dai tecnici per complicare le cose (o dall’ufficio acquisti per ridure i costi), l’ossessione dei designer per eliminare qualunque funzione visibile e parte meccanica, e la stupidità della mania di rendere “smart” qualunque cosa, non avrebbe potuto fare di meglio.

Santo cielo, gente, stiamo parlando di una lampadina. La quintessenza della semplicità. Sarebbe costato tanto includere, che so, un pulsantino di reset?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Samsung avvisa gli utenti delle sue Smart TV che si possono infettare. Poi ci ripensa

Samsung avvisa gli utenti delle sue Smart TV che si possono infettare. Poi ci ripensa

Il 16 giugno scorso Samsung ha pubblicato questo tweet, salvato su Archive.org, nel quale mostrava come lanciare l’antivirus incorporato nei suoi televisori smart.

“Fare la scansione del tuo computer per virus malware [sic] è importante per farlo continuare a funzionare bene. Questo vale anche per il tuo TV QLED se è collegato al Wi-Fi! Previeni gli attacchi di software malevolo contro il tuo TV facendo la scansione per eventuali virus sul tuo TV ogni qualche settimana. Ecco come.”

Credit: The Register.

Ma invece di rassicurare gli utenti, sembra che il video li abbia in realtà preoccupati, facendo rendere conto a molti di loro, improvvisamente, che il loro televisore smart può prendersi un virus informatico come il più macilento dei Windows XP e quindi non è poi tanto smart come sembrava dal racconto del venditore. I nostalgici noteranno che tutto questo non poteva succedere con i televisori a schermo piatto non smart.

Soluzione di Samsung: eliminare il tweet.

Ma Internet non dimentica. The Register ha una cronologia delle vulnerabilità manifestate in passato dalle smart TV, e non è confortante. Se proprio dovete avere una TV smart, non collegatela a Internet a meno che non sia assolutamente necessario, e se proprio la dovete collegare, allora fatelo tramite dispositivi che filtrino e proteggano la connessione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.