L’industria trema: i ricercatori dell’Università del Michigan hanno dimostrato che si possono confondere i sensori di accelerazione degli smart device con le onde sonore
Arturo Di Corinto per Cybersecurity 17 marzo 2017
Si può hackerare un drone, uno smartphone o persino un’automobile usando le onde sonore. Sintonizzate su particolari frequenze possono confondere i sensori di accelerazione di smart device e oggetti collegati all’Internet delle cose rendendo di fatto possibile hackerare computer, tablet, smartphone, orologi da polso e ogni dispositivo a guida autonoma, perfino i droni.
Come funzionano gli attacchi acustici
Che l’attacco sonoro funzioni l’hanno dimostrato i ricercatori dell’Università del Michigan, con l’hackeraggio di un Samsung Galaxy S5 e di un fitness tracker Fitbit inviando dei segnali acustici che hanno mandato in tilt i sensori di questi due dispositivi.
Ma non eravamo corsi ai ripari? Dopo lo shock causato dallo spegnimento dei servizi offerti da Dyn provocato dalla botnet Mirai è cambiata la percezione dell’Internet delle cose anche presso l’opinione pubblica che si è informata dell’accaduto, ma la politica non si è ancora veramente confrontata col tema. Nella comunità tecnica per prevenire questo tipo di problemi si è fatto ricorso a diverse misure di sicurezza: cambiare fornitore, dotarsi di DNS multipli e ridondanti, usare connessione da 1Tbps e protezioni anti DDoS ibride basate sul machine learning.
Ma i findings di Timothy Trippel, Ofir Weisse, Wenyuan Xu, Peter Honeyman e Kevin Fu ci dicono che non siamo ancora al sicuro.
Che fare per prevenire gli attacchi agli smart device?
Che cosa si può fare? In un mercato dove gli acquirenti cercano di fare affari senza valutare i rischi di dispositivi a basso costo che non sono stati progettati a partire dalla sicurezza il problema sembra irrisolvibile: le aziende comprano dispositivi economici che per essere economici utilizzano componenti di scarsa qualità. Non solo, spesso integrano prodotti da terze parti che non ne garantiscono l’affidabilità e che forse hanno delle vulnerabilità built in.
Che fare? Richiedere ai produttori di ottenere una certificazione per la vendita, utilizzare un framework basato su policy e standard che garantiscano le soluzioni?
Sicuramente i produttori dovrebbero attivare una filiera di produzione e manutenzione dove aggiornamenti, patch e correzioni siano parte integrante del servizio offerto con la vendita degli smart devices e di componenti intelligenti che persone senza scrupoli usano per gli attacchi IoT. Ma anche l’educazione degli acquirenti finali è importante. Seguire le linee guida offerta dalla OnLine Trust Aliance è un modo.
E tuttavia la certificazione di qualità potrebbe diventare una best practice anche se difficile da imporre per i costi che comporta: potrebbe infatti frenare l’innovazione trasformandosi in una barriera di ingresso per le startup. Ma non si può più tergiversare: il problema non è se i nostri gadget verranno attaccati, ma quando.
