La diffusione dei dispositivi connessi nelle smart home, e non solo, ha da tempo fatto sorgere dubbi e preoccupazioni relative alla sicurezza non solo dei device stessi, ma di tutta la rete in cui sono installati, compresi altri dispositivi e computer.
I cyber-attacker potrebbero in qualche modo scavalcare i confini della rete IoT e attaccare obiettivi ancora più allettanti per i loro scopi malevoli, come il network di computer nelle nostre case, nei nostri uffici o persino nelle nostre smart city?
A chiederselo è la società di cybersecurity Check Point, e la risposta non è affatto rassicurante: è un deciso sì. I ricercatori di Check Point hanno dimostrato in pratica come un network locale possa essere hackerato mediante l’attacco a un sistema di illuminazione smart.
Giù nel 2017, sottolinea Check Point, un team di ricercatori accademici aveva mostrato come fosse possibile assumere il controllo di lampadine smart funzionanti con la tecnologia ZigBee, e come questo a sua volta consentisse di creare una “reazione a catena” che avrebbe potuto diffondersi in una città moderna.
Partendo da dove era stata interrotta questa precedente ricerca, gli esperti di Check Point hanno dimostrato come un cyber-attacker potrebbe sfruttare una rete IoT (lampadine smart e il loro bridge) per lanciare attacchi a reti di computer convenzionali nelle case, nelle aziende e finanche nelle smart city.
I ricercatori di Check Point si sono concentrati sulle lampadine e sul bridge del sistema di smart lighting leader di mercato, Philips Hue, e hanno scoperto delle vulnerabilità (CVE-2020-6007) che hanno consentito loro di infiltrarsi nelle reti utilizzando un exploit remoto nel protocollo wireless a bassa potenza ZigBee, utilizzato per controllare un'ampia gamma di dispositivi IoT.
Con l'aiuto del Check Point Institute for Information Security (CPIIS) dell'Università di Tel Aviv, i ricercatori sono stati in grado di assumere il controllo di una lampadina Hue e di installare firmware nocivo su di essa: poi, hanno usato la lampadina come piattaforma per prendere controllo del bridge e hanno attaccato la rete target.
Tramite l’attacco simulato, i ricercatori hanno potuto hackerare prima la lampadina, poi hanno sfruttato le vulnerabilità del protocollo ZigBee per attivare un buffer overflow heap-based sul bridge di controllo, inviando grandi quantità di dati verso di esso, poi hanno installato sul bridge un malware che a sua volta si è connesso a quello che avrebbe potuto essere il network di computer di una casa o di un ufficio. Il malware si ricollega all'hacker e, utilizzando un exploit noto (come EternalBlue), può infine infiltrarsi dal bridge nella rete IP target per diffondere ransomware o spyware.
I risultati della ricerca sono stati resi noti a Signify (proprietario del marchio Philips Hue) nel novembre 2019 e l’azienda ha confermato a Check Point l'esistenza della vulnerabilità nel prodotto. Signify ha rilasciato una versione aggiornata del firmware contenente la patch (Firmware 1935144040), il cui roll out è iniziato a metà gennaio.
Chi ha attivato l’aggiornamento automatico del proprio sistema Philips Hue dovrebbe aver già ricevuto l’update, gli esperti di cybersecurity raccomandano comunque agli utenti di assicurarsi che il loro prodotto abbia ricevuto e installato la versione corretta del firmware.
Con una decisione concordata con Signify, Check Point ha stabilito di posticipare il rilascio dei dettagli tecnici completi riguardanti la ricerca, al fine di consentire ai clienti Philips Hue di avere abbastanza tempo per aggiornare in sicurezza i loro prodotti all'ultima versione. Questi dettagli tecnici completi saranno pubblicati sul blog di ricerca di Check Point.
In ogni caso, a prescindere dal caso specifico delle luci smart Philips Hue, i ricercatori di Check Point hanno puntato i riflettori (anche con un video efficace che mostra in pratica l’attacco) su quanto sia importante non sottovalutare il fattore sicurezza della rete e dei dispositivi IoT.
Tra l’altro Check Point ha nel proprio catalogo anche una soluzione di sicurezza per la protezione dei device IoT e dell’Industrial IoT.
