Questo articolo è disponibile anche in versione podcast audio.
Con tempismo perfetto per Halloween arriva un avviso di sicurezza per le
lampadine smart di IKEA, che hanno due vulnerabilità (CVE-2022-39064 e
CVE-2022-39065) sfruttabili per farle sfarfallare come se fossero infestate o
provenissero da una delle case della serie Stranger Things.
Jonathan Knudsen, del Synopsys Cybersecurity Research Center, ha
scoperto
infatti che le lampadine Tradfri e il loro gateway
o dispositivo di controllo possono essere indotte a fare un reset
semplicemente mandando loro un segnale radio apposito (tecnicamente, se ci
tenete a saperlo, si chiama
frame Zigbee
malformato).
Una volta resettate, le lampadine restano tutte accese al massimo della
luminosità e l’utente non riesce più a comandarle, né con l’app né con il
telecomando apposito. Per riprenderne il controllo, l’utente deve riaggiungere
manualmente alla propria rete domestica ciascuna lampadina. Ma siccome non
esiste un aggiornamento correttivo completo, l’aggressore può ripetere
l’attacco tutte le volte che vuole, usando semplicemente un laptop e un
radiotrasmettitore che costa una trentina di euro o franchi e può agire anche
da un centinaio di metri di distanza.
IKEA è stata avvisata delle falle e ha messo a disposizione un aggiornamento
parziale, che conviene sicuramente installare, ma la vulnerabilità in questo
caso deriva dalla natura stessa del sistema di trasmissione e di comando
utilizzato, chiamato Zigbee, e quindi non è completamente rimediabile.
Un attacco di questo genere non comporta fughe di dati, ma può essere comunque
un fastidio notevolissimo. Se avete queste lampadine smart e vedete che
sfarfallano o lampeggiano e non rispondono ai comandi, i casi sono due: o
avete un vicino informaticamente dispettoso, oppure qualcuno sta cercando di
comunicare con voi dal Sottosopra.
Fonte aggiuntiva:
The Register.