Vai al contenuto
Sì, le smart TV sono infettabili. E sbloccarle non è facile

Sì, le smart TV sono infettabili. E sbloccarle non è facile

Il giorno di Natale su Twitter è comparsa una segnalazione molto insolita: la fotografia di una smart TV della LG infettata e brickata (bloccata) da un ransomware come quelli descritti da MELANI. Lo schermo mostrava un finto avviso dell’FBI che richiedeva un riscatto per sbloccare il dispositivo. Spegnendo e riaccendendo il televisore, si ricaricava il ransomware.

Si sapeva già che esisteva il rischio teorico d’infezione anche per le smart TV, visto che sono in sostanza dei computer carrozzati a forma di televisore, ma questa è stata una delle prime dimostrazioni concrete del problema.

La segnalazione proveniva dal Kansas, specificamente da Darren Cauthon, un informatico, e riguardava la smart TV di un familiare. La cosa più irritante, secondo Cauthon, era che il televisore non era ripristinabile perché la LG non voleva rivelare la procedura apposita, assente dal manuale, e chiedeva circa 340 dollari per la riparazione (non a domicilio, ma presso un centro assistenza LG): praticamente il costo di un televisore nuovo.

Ho contattato Cauthon, che mi ha spiegato che si tratta di una smart TV LG 50GA6400, un modello che usa Android come sistema operativo e che risale al 2014. Il televisore si è probabilmente infettato, ha detto Cauthon, usandola per scaricare un’app per guardare film. A metà di un film la smart TV si è bloccata. Non è chiaro se l’app sia stata scaricata da Google Play o da altre fonti.

L’immagine della smart TV bloccata è diventata virale in poco tempo, con mezzo milione di visualizzazioni, inducendo finalmente LG a darsi da fare e fornire a Darren Cauthon le semplici istruzioni di reset del televisore senza farsi pagare. L’informatico ha dimostrato il ripristino in un video.

Le smart TV più recenti non usano Android ma WebOS, per cui è difficile che questo genere d’infezione possa avvenire su dispositivi nuovi, anche se Trend Micro segnala che gli attacchi di ransomware alle smart TV capitano regolarmente; ma fa impressione che un televisore di un paio d’anni fa sia così vulnerabile e obsolescente e che il produttore chieda 300 dollari per premere letteramente due tasti per sbloccare la TV.

Come regola generale, alla luce di questo episodio, è consigliabile collegare a Internet le smart TV solo se strettamente indispensabile e solo per navigare in siti attendibili, senza visitare siti poco raccomandabili e soprattutto senza installare app di origine sconosciuta.

Fonti aggiuntive: BleepingComputer,

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
80 tipi di telecamere IP Sony hanno come password “admin” e fanno la spia

80 tipi di telecamere IP Sony hanno come password “admin” e fanno la spia

Circa 80 modelli di telecamere IP Sony IPELA hanno una backdoor: un difetto che consente a un aggressore di prenderne il controllo per usarle per attacchi informatici, per inviare immagini alterate o per spiare l’utente che le ha installate. Il nome utente predefinito è admin e la password predefinita è admin. Un classico, insomma.

La segnalazione arriva dai ricercatori di sicurezza informatica della SEC Consult, che aggiungono che admin:admin non è l’unica coppia nome utente-password predefinita e vulnerabile: c’è anche un account root, di cui però non hanno cercato la password, notando che “è solo questione di tempo prima che qualcuno la trovi”.

La SEC Consult ha mantenuto segreta la scoperta ed ha avvisato Sony a metà ottobre scorso; Sony ha rilasciato un aggiornamento del firmware delle proprie telecamere il 28 novembre e la vulnerabilità è stata resa pubblica soltanto il 6 dicembre (tre giorni fa).

A questo punto chiunque abbia una telecamera Sony IPELA deve scaricare subito l’aggiornamento correttivo qui e installarlo, se non vuole essere spiato o attaccato.

Non è la prima volta che vengono scoperti errori grossolani di progettazione come questo nelle telecamere di sorveglianza, ma di solito si tratta di modelli di marche che lavorano al massimo ribasso, come per esempio VStarcam/Eye4 (se ne avete una, qui c’è una pagina per sapere se è vulnerabile). Qui abbiamo Sony che pensa, incredibilmente, che sia accettabile mettere in vendita delle telecamere costosissime che hanno delle chiavi d’accesso universali predefinite e soprattutto incredibilmente banali come admin:admin.

Fonti: Sophos, BleepingComputer, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Cose informatiche da fare a Natale (o prima di Natale)

Capita sempre più spesso di fare acquisti natalizi su Internet, e così la società di sicurezza informatica Sophos ha pubblicato un promemoria in dodici punti su come tenersi in sicurezza durante le feste. Ecco un assaggio dei temi principali.

Pulizia delle password. La pausa di Natale è una buona occasione per fare riordini di vario genere. Magari ci sta anche quello delle password, che devono essere differenti per ciascun sito, per evitare che un sito violato permetta a un criminale di rubarvi tutti gli account. Non è difficile, se usate un password manager che crea e si ricorda per voi tutte le password usando codici complicatissimi.

Aggiornamenti. Se ricevete in regalo qualche dispositivo digitale che si connette a Internet, per prima cosa aggiornate il suo software, per evitare che s’infetti. Fatelo subito.

Cambiate le password predefinite dei nuovi dispositivi. Molti dispositivi che potreste ricevere come regalo hanno delle password standard che sono note a tutti i malandrini della Rete: cambiatele, dunque, prima di affacciarvi a Internet. La raccomandazione vale in particolare per telecamerine di sorveglianza, monitor per bebè, televisori, lettori DVD e Blu-Ray, console di gioco e decoder TV.

Lucchetti nello shopping. Se andate su un sito a fare acquisti, controllate che accanto al nome del sito, nella casella dell’indirizzo del browser, ci sia un lucchetto chiuso: indica che la connessione al sito è cifrata e che nessuno può intercettarla per leggere i dati della vostra carta di credito.

Attenzione alle false mail degli spedizionieri. I criminali informatici in questo periodo sanno che stiamo ricevendo tanti regali per posta o tramite spedizionieri, per cui hanno avviato campagne di ransomware e rubapassword basate su mail che sembrano provenire dalle Poste o simili e sembrano annunciare l’arrivo di un pacco, sapendo che molti utenti si aspettano mail di questo genere e quindi le apriranno e soprattutto ne apriranno gli allegati infettanti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Se pensavate di regalare giocattoli “smart”, pensateci due volte: sono spioni e pettegoli

Se pensavate di regalare giocattoli “smart”, pensateci due volte: sono spioni e pettegoli

Ultimo aggiornamento: 2016/12/13 14:35. 

State pensando di regalare per Natale qualche giocattolo elettronico “smart” e interconnesso? Pensateci bene e soprattutto informatevi, per non trovarvi con sorprese spiacevolmente ficcanaso. Molti di questi oggetti, infatti, permettono a sconosciuti di spiarvi in casa, raccolgono dati personali e sono privi delle misure di sicurezza informatica di base.

In particolare, l’Ufficio europeo delle Unioni dei Consumatori (BEUC) e l’Electronic Privacy Information Center (EPIC) segnalano che i microfoni sempre aperti di molti di questi dispositivi rubano informazioni, permettono a intrusi di sorvegliare e spiare i bambini e fanno pubblicità scorretta, in violazione delle direttive europee sui diritti dei consumatori, sulla privacy e sulla sicurezza.

L’Ufficio europeo fa nomi e cognomi, citando per esempio la bambola My Friend Cayla e il robot i-Que, fabbricati dalla Genesis Toys e dotati dei sistemi di riconoscimento vocale della Nuance Communications. Questi giocattoli dialogano con i bambini e ne registrano la voce, per poi rispondere con frasi pubblicitarie preconfezionate. “Cayla è ben contenta di parlare di quanto le piacciono i vari film della Disney”, nota il BEUC, sottolineando che guarda caso “il fornitore dell’app ha un rapporto commerciale con la Disney”.

Questi giocattoli sono inoltre accompagnati da una licenza d’uso (sì, adesso anche le bambole hanno una licenza d’uso). Questa licenza dice che i suoi termini possono essere cambiati senza preavviso e che i dati personali raccolti – quelli dei vostri figli – possono essere usati a scopo pubblicitario e condivisi con terzi.

Come se non bastasse, questi dispositivi digitali possono essere intercettati usando un telefonino, per cui uno sconosciuto può ascoltare quello che dicono in casa i bambini e usare quello che dicono per fare stalking e altro, come dimostrato in un video preparato da un’associazione norvegese di consumatori. Il narratore del video prende il controllo di una bambola, ascolta quello che viene detto vicino ad essa e le fa dire quello che vuole nonostante lui sia all’esterno dell’edificio nel quale sta il giocattolo.

Fra l’altro, l’azienda di sicurezza Pen Test Partners aveva già segnalato l’anno scorso che la bambola My Friend Cayla era afflitta da questi problemi e li aveva dimostrati modificandola in modo da farle dire parolacce.

Varie associazioni di difesa dei consumatori hanno depositato una contestazione presso la FTC, la principale agenzia governativa statunitense per la protezione dei consumatori. Nuance Communications, da parte sua, dice di aver rispettato la propria politica aziendale per quanto riguarda i dati vocali raccolti attraverso questi giocattoli.

Comunque sia, questo episodio è un buon promemoria di una regola da adottare più in generale quando si fa un acquisto elettronico: chiedersi sempre se l’oggetto si collega a Internet, che dati raccoglie e che sicurezze ha, e se tutto questo è realmente necessario e soprattutto utile. Ora questa domanda va fatta persino per bambole e robot. Viviamo in tempi interessanti.

Fonti: The Register, BoingBoing, Consumerist.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attacco blocca Internet per quasi un milione di utenti tedeschi; rischi anche in altri paesi

Attacco blocca Internet per quasi un milione di utenti tedeschi; rischi anche in altri paesi

Pochi giorni fa un attacco informatico ha tolto la connessione a Internet a quasi un milione di utenti Internet tedeschi collegati alla rete Deutsche Telekom. Lo stesso attacco ha preso di mira anche le reti informatiche governative tedesche, secondo le comunicazioni dell’ufficio governativo per la sicurezza informatica (BSI) del paese, riportate da Reuters.

L’attacco colpisce alcuni modelli specifici di router degli utenti, prodotti dalla Zyxel e dalla Arcadyan (venduti in Germania con il marchio Speedport), e si è esteso anche ad altri paesi, come Irlanda, Brasile e Regno Unito.

La fonte di questo nuovo blackout informatico è, ancora una volta, una botnet creata usando Mirai, il software che consente di prendere il controllo delle telecamerine IP di sorveglianza e di altri dispositivi connessi a Internet senza protezioni e di trasformarli in generatori di traffico che intasa un sito fino a renderlo inaccessibile (DDOS). Un attacco basato su Mirai era riuscito a far crollare Spotify e Twitter a fine ottobre scorso.

Le aziende produttrici dei router coinvolti stanno distribuendo degli aggiornamenti di sicurezza che impediscono ai dispositivi di essere infettati. Chi è già stato colpito, però, difficilmente riceverà l’aggiornamento, perché un router infettato respinge gli aggiornamenti e quindi è necessario chiamare l’assistenza tecnica per ripristinarlo.

Secondo una ricerca fatta tramite Shodan da un lettore, Decio, in Svizzera ci sono quasi 500.000 dispositivi che hanno la porta 7547 aperta (e quindi sono probabilmente attaccabili) e più o meno altrettanti anche in Italia.

Purtroppo questa nuova moda di attaccare i dispositivi connessi a Internet invece dei computer si sta diffondendo, anche perché è relativamente facile da seguire: mentre i computer diventano man mano più protetti, gli altri dispositivi spesso vengono messi in commercio senza alcuna attenzione alla sicurezza o con falle gravi, come quella che è stata segnalata per alcune telecamere IP di Siemens (per le quali è disponibile un aggiornamento correttivo).

Non si tratta di un rischio ipotetico: se un dispositivo vulnerabile viene connesso a Internet, verrà infettato, e in poco tempo. Il ricercatore di sicurezza Rob Graham ha provato a collegare a Internet una telecamera IP della JideTech e ha scoperto con stupore che è stata individuata e infettata nel giro di 98 secondi. 



Fonti aggiuntive: Motherboard, Ars TechnicaEngadgetDeutsche Telekom.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come spegnere le luci “intelligenti” usando un drone

Come spegnere le luci “intelligenti” usando un drone

Se avete acquistato le lampadine “smart” Hue della Philips, quelle che si possono comandare tramite computer e telefonino, ho una brutta notizia per voi: sono attaccabili a distanza e possono essere usate per disseminare un attacco che si diffonde con una reazione a catena.

Dei ricercatori del Weizmann Institute of Science in Israele e della Dalhousie University in Canada hanno dimostrato, con un articolo tecnico e un test pratico, che il protocollo di comunicazione ZigBee usato da queste lampadine è sfruttabile da un aggressore per inviare alle lampadine un aggiornamento firmware falso e alterato, che poi si diffonde spontaneamente alle lampadine adiacenti, permettendo di controllarle a distanza, per esempio per spegnerle di colpo, lasciando al buio un edificio o un quartiere.

L’attacco è effettuabile senza entrare nell’edificio preso di mira: in una dimostrazione, i ricercatori hanno attivato il reset delle Philips Hue da oltre 150 metri usando apparecchiature comunemente disponibili e sfruttando un drone. In un test il drone ha preso il controllo delle lampadine da 350 metri di distanza, inducendo a lampeggiare secondo il codice Morse con il messaggio “SOS”.

Secondo i ricercatori, un drone che sorvolasse una città muovendosi a zigzag “potrebbe disabilitare tutte le lampadine smart Philips Hue nei centri cittadini nel giro di pochi minuti”.

L’attacco è possibile perché tutte le lampadine Hue usano per gli aggiornamenti firmware la stessa chiave crittografica di sicurezza, che i ricercatori sono stati in grado di scoprire “nel giro di pochi giorni usando […] solo apparecchiature economiche e facilmente reperibili che costano qualche centinaio di dollari”.

Questo consente a un aggressore di creare “un attacco veramente devastante a basso costo […] una singola lampadina infettata con firmware modificato […] può innescare una reazione a catena esplosiva nella quale ciascuna lampadina infetta e sostituisce il firmware di tutte quelle vicine nel raggio di alcune centinaia di metri”. I ricercatori sottolineano che un aggressore potrebbe disabilitare gli ulteriori aggiornamenti, per cui le lampadine “non possono essere recuperate e devono essere buttate via.”

La ZigBee Alliance ha dichiarato che questo difetto è stato risolto e distribuito a tutti i clienti. Non è chiaro come facciano a sapere che tutte le lampadine del mondo sono state aggiornate e non sono più vulnerabili.

Come dice Mikko Hypponen di F-Secure, ogni volta che sentite “smart”, sostituite mentalmente questa parola di marketing con “vulnerabile”. Eviterete di restare letteralmente al buio.

Fonti aggiuntive: Computerworld, PCMag.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
L’Attacco delle Centomila Telecamere che ha paralizzato Internet

L’Attacco delle Centomila Telecamere che ha paralizzato Internet

Venerdì scorso (21 ottobre) gran parte di Internet è diventata inaccessibile: sono andati in tilt siti popolarissimi come Twitter, Netflix, Reddit, CNN e molti altri. Non per un guasto, ma per un attacco, effettuato con una tecnica molto particolare: gli aggressori hanno preso il controllo di un elevatissimo numero di telecamere e videoregistratori digitali connessi a Internet e li hanno indotti a inondare di traffico di dati un fornitore di servizi, Dyn, dai quali dipendono molti dei grandi nomi della Rete. Saturando Dyn, questa rete di dispositivi (botnet) ha mandato in crisi i sistemi di risoluzione dei nomi dei siti (DNS, domain name system) che traducono il nome di un sito nelle sue coordinate su Internet (indirizzo IP) e consentono quindi agli utenti di raggiungere un sito digitandone il nome.

Le stime aggiornate, a una settimana dall’attacco, parlano di circa centomila dispositivi comandati a distanza tramite un malware denominato Mirai, che si diffonde da solo sfruttando la pessima sicurezza dei dispositivi connessi a Internet, in particolare contenenti componenti fabbricati dalla marca cinese XiongMai Technologies ma anche stampanti della Panasonic e router di SNC e ZTE, che hanno password di amministrazione banali, fisse e non modificabili ma soprattutto note a chiunque, come admin, 123456 o password. Il malware, in sintesi, entrava in questi dispositivi dalla porta principale tentando un breve elenco di password standard fino a trovare quella giusta e poi iniziava a trasmettere dati in quantità verso Dyn e altri bersagli, saturandoli.

Il fatto che le password non erano modificabili significa che l’attacco non è colpa degli utenti che comprano dispositivi insicuri e li collegano a Internet, ma dei fabbricanti di questi dispositivi, che non rispettano le norme più elementari della sicurezza informatica. XiongMai ha dovuto richiamare alcuni dei propri prodotti venduti negli Stati Uniti, ma è difficile che un richiamo possa togliere da Internet tutti i dispositivi vulnerabili. In altre parole, aspettiamoci altri attacchi come questo.

Sapere chi ha lanciato l’attacco è molto difficile, perché il codice di Mirai è stato reso pubblico (da qualcuno che dice di esserne l’autore) alla fine di settembre e quindi può averlo usato chiunque; inoltre localizzare i centri di controllo della botnet è arduo. Sta ora ai fornitori di accesso a Internet filtrare il traffico in modo da bloccare quello proveniente da questi dispositivi, ma ci vorranno anni prima che questa vulnerabilità perfettamente evitabile venga chiusa. Nel frattempo, se avete telecamere o videoregistratori connessi a Internet, cercate di scoprire se sono fra quelle difettose e infettabili (ci sono servizi come questo di MalwareInt che le indicano su una mappa) e se sono accessibili dall’esterno (con strumenti come questo). Meglio ancora, scollegatele se non sono strettamente indispensabili.

Fonti: Krebs on Security, The Register, Incapsula, Dyn, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Internet delle Cose: undici ore per attivare un bollitore “smart”

Pochi giorni fa Mark Rittman, un dirigente della Oracle, è stato suo malgrado protagonista di una telenovela informatica in tempo reale: ha raccontato via Twitter la sua lotta epica contro un bollitore d’acqua per il té. Ci ha messo undici ore a farlo funzionare.

Il bollitore è uno di quegli apparecchi “smart” dell’Internet delle Cose che vanno di moda adesso e spesso vengono messi sul mercato senza provarli adeguatamente nelle varie situazioni possibili. Rittman si è trovato nei guai perché ha cercato di integrare il bollitore nel suo sistema di automazione domestica. Dapprima gli si è rivoltato contro l’access point Wi-Fi, che si è resettato, poi il bollitore non accettava correttamente i dati ricevuti via Wi-Fi e si ostinava a voler fare periodicamente una “ricalibrazione obbligatoria” che lo scollegava dalla rete domestica.

Rittman ha iniziato a raccontare i propri guai su Twitter, e la sua storia è stata ripresa da un numero di utenti così grande che il suo server domestico è schiattato sotto il carico dei visitatori, buttando offline il suo Amazon Echo.

Quando finalmente il bollitore ha iniziato a ricevere comandi vocali tramite l’Echo e a bollire l’acqua a comando, le lampadine “smart” della casa di Rittman hanno deciso che era il momento di fare un aggiornamento obbligatorio e così si sono spente, lasciando la casa al buio intanto che scaricavano e installavano l’aggiornamento.

Alla fine, dopo undici ore di strenua lotta all’ultimo byte, Mark Rittman è riuscito a farsi la sua meritatissima tazza di té. L’intera vicenda è raccontata in un flusso di tweet raccolto da Boing Boing e The Guardian. Ma molti si stanno chiedendo: ne valeva la pena?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuove frontiere degli attacchi informatici: oscurare un sito tramite le webcam

Nuove frontiere degli attacchi informatici: oscurare un sito tramite le webcam

Ultimo aggiornamento: 2016/10/05 8:05.

Siamo ormai abituati agli attacchi informatici messi a segno tramite virus, siti falsi o documenti che rubano password. Ma pochi giorni fa KrebsOnSecurity, il sito del popolare esperto di sicurezza informatica Brian Krebs, è stato oscurato con una forma di attacco decisamente insolita: sono state utilizzate centinaia di migliaia di telecamere connesse a Internet.

Insieme a router, videoregistratori digitali e altri dispositivi connessi (la cosiddetta Internet delle cose), queste telecamere sono state infatti infettate in massa e comandate dagli aggressori in modo da generare un traffico enorme verso il sito di Krebs: l’equivalente informatico di migliaia di persone che tentano di telefonare contemporaneamente allo stesso numero. In gergo tecnico si chiama distributed denial of service o DDOS.

Si tratta di uno degli attacchi più grandi mai effettuati: le stime parlano di 620 gigabit al secondo. Per dare un senso a questa cifra, immaginate di trasmettere a qualcuno via Internet settanta film al secondo (stimando un gigabyte per film). Ed è stato probabilmente un assaggio di quello che vedremo nel prossimo futuro: pochi giorni dopo, un servizio di hosting francese, OVH, è stato attaccato ancora più massicciamente con 1100 gigabit al secondo. E Ars Technica segnala numerosi altri casi di oscuramenti effettuati tramite webcam.

L’oscuramento del sito di Brian Krebs, spina nel fianco di molti criminali online per via delle sue inchieste che fanno i loro nomi e cognomi, ha messo in ginocchio persino le risorse di una delle più grandi aziende per la distribuzione di contenuti via Internet, Akamai, che aveva difeso gratuitamente Krebs dagli attacchi subiti in passato ad opera di questi criminali. Al suo posto è subentrato Google, che ha sopportato l’attacco nell’ambito del proprio Project Shield per la difesa dei giornalisti dalla censura online. In effetti un DDOS è una forma di censura: se nessuno ti può leggere, è come se tu non avessi scritto nulla.

Il problema principale di questi attacchi è che la loro potenza di fuoco è difficile da mitigare e resta attiva a lungo perché gli oggetti connessi a Internet, a differenza dei computer, non vengono quasi mai aggiornati per correggerne le falle e per i loro proprietari è difficile rendersi conto di essere complici di un’aggressione online. Questi oggetti, inoltre, non hanno antivirus che permettano di fare una loro scansione alla ricerca, appunto, di virus o simili o di proteggerli da intrusioni. E con la crescente popolarità dell’Internet delle Cose (insicure), possiamo aspettarci altri attacchi spacca-Internet come questi.

Tutto quello che possiamo fare noi utenti per evitare di diventare complici inconsapevoli di questi assalti è cambiare le password predefinite dei dispositivi che colleghiamo a Internet: sarebbe già un grande miglioramento, visto che non lo fa nessuno, a giudicare dal numero di oggetti digitali accessibili tramite le loro password standard, e oltretutto metterebbe anche noi al riparo da eventuali atttacchi di ficcanaso. Alcuni dispositivi, però, sono realizzati in modo talmente insicuro da non consentire cambi di password: in questi casi l’unica soluzione è scollegarli o isolarli da Internet, se possono funzionare senza essere online. Benvenuti nell’Internet delle Cose.

Fonti aggiuntive: The Inquirer, Motherboard

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
L’Internet delle Cose Inutili: lo spazzolino da denti online con rilevamento di posizione

L’Internet delle Cose Inutili: lo spazzolino da denti online con rilevamento di posizione

Sì. Quello mostrato nella pubblicità qui accanto è uno spazzolino da denti con “rilevamento di posizione nella mascella”. Associato via Bluetooth ad un telefonino con relativa app, “rileva… in tempo reale la durata e la pressione necessarie per la spazzolatura”. Perché parlare con il proprio dentista e farsi spiegare come si usa uno spazzolino, manuale o elettrico che sia, non si può. E meno male che è scontato da 299 franchi a 249 (in Italia è venduto a circa 200 euro).

Questa è l’Internet delle Cose. Delle cose che non hanno alcuna buona ragione di essere connesse a Internet, se non quella di seguire la moda di connettere tutto: bollitori, macchine del caffè, persino vibratori. E trasformare tutto in gioco, secondo la dottrina della gamification, perché altrimenti la gente non è capace di pensare alla propria igiene e salute. C’è stato persino il concorso informatico Hack the Brush per chi sviluppava il miglior software. Per uno spazzolino da denti.

Non è una mia lamentela da vecchio luddista che non sa apprezzare le nuove tecnologie: di questo spazzolino ha parlato anche Stefano Zanero, professore associato del Dipartimento di Elettronica, Informazione e Bioingegneria presso il Politecnico di Milano, in un convegno intitolato non a caso Internet of Broken Things.

Il problema, infatti, non è soltanto la frivolezza da primo mondo di avere uno spazzolino interconnesso e “intelligente” (anche se va detto che i clienti soddisfatti esistono): è il fatto che i dispositivi dell’Internet delle Cose sono progettati quasi sempre senza pensare alla sicurezza informatica e alla privacy. Collegare un dispositivo vulnerabile alla propria rete domestica o aziendale può creare vulnerabilità del tutto inattese, come è emerso per il bollitore iKettle che rivela la password del Wi-Fi, o come ben sanno quelli di Hacking Team. Una versione precedente dello spazzolino in questione aveva una vulnerabilità: trasmetteva i dati in chiaro. E questa come sarà?

Certo, sono solo dati di spazzolatura: sembrano poco interessanti a un ficcanaso o a un ladro. Ma anche il battito cardiaco rilevato dai braccialetti digitali di fitness sembrava un dato condivisibile senza problemi di privacy fino a che ci si è resi conto che era possibile dedurre cosa stava facendo la persona, per esempio quando si concedeva un momento di intimità con il proprio partner (o anche senza, considerato che questi braccialetti hanno un accelerometro che rileva i movimenti del braccio).

Fonti aggiuntive: TechCrunch.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.