L'Internet delle Cose arriva in cucina: siamo fritti. O cotti?
April 14, 2017 6:13 |
| Il formato dei messaggi da inviare alle cucine AGA “smart”. |
E a nessuno, a quanto pare, l'idea di poter accendere un forno in casa via Internet è sembrata neanche lievemente pericolosa.
Tant'è vero che i ricercatori della Pen Test Partners hanno scoperto che è facilissimo per chiunque prendere il controllo a distanza di questa cucina.
Secondo questi ricercatori, l'app della cucina non cifra le proprie comunicazioni e manda i messaggi in normale HTTP, per cui è facilissimo, per un aggressore, intercettare e modificare i comandi inviati.
L'app invia i comandi a un sito che poi invia un SMS alla cucina (sì, avete intuito correttamente: questa cucina ha una propria SIM e un proprio numero di telefonino).
La disinvoltura in fatto di sicurezza non finisce qui: la Pen Test ha scoperto che la pagina Web per la gestione degli account di controllo di queste cucine usa (di nuovo) HTTP al posto di HTTPS, per cui la password dell'utente transita su Internet senza protezioni; e soprattutto la pagina Web avvisa se si immette un numero di telefonino già iscritto al servizio.
A prima vista questo potrebbe sembrare un problema trascurabile, ma agli occhi di chi fa sicurezza informatica è una falla molto grave: infatti consente di tentare tutti i numeri di telefonino e trovare quelli delle cucine, compilando un elenco di numeri ai quali mandare comandi di accensione o spegnimento.
Ciliegina sulla torta, i ricercatori hanno raccontato che hanno avuto enormi difficoltà nel contattare qualcuno presso AGA per avvisare del problema: messaggi e telefonate rimasti senza risposta, promesse di essere richiamati mai mantenute, e i ricercatori sono stati persino bloccati su Twitter dagli account dell’azienda.
Pranziamo il 23 aprile a Lugano con un attore di Doctor Who?
April 13, 2017 9:10
Il 23 aprile, domenica, a Lugano ci sarà uno degli attori del cast di Doctor Who per un pranzo con i fan. È una cosa intima, nata all'ultimo momento per una felice coincidenza: i posti disponibili sono pochi.
Io ci sarò, come fan e come traduttore: se vi va di partecipare, contattate @elydax su Twitter per tutti i dettagli.
Podcast del Disinformatico del 2017/04/07
April 8, 2017 7:53È disponibile per lo scaricamento il podcast della puntata di ieri del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
Come conservare una pagina Web per dimostrarne lo stato passato
April 7, 2017 8:26Arriva da una follower del Disinformatico, Sara, una domanda molto frequente: come si fa a conservare una pagina Web, in modo da dimostrare cosa conteneva a una certa data?
Scaricarla sul proprio computer non è una buona soluzione: potreste trovarvi accusati di aver falsificato o alterato la copia scaricata. Serve un servizio indipendente e imparziale, universalmente riconosciuto.
Ci sono vari siti di questo genere ai quali si può dare il link di una pagina e chiederne l’archiviazione: i più gettonati sono Archive.is, Freezepage.com e WebCite. Funzionano molto bene, fornendo non solo una copia completa e inalterabile di una pagina ma anche un’indicazione dell’istante preciso in cui è stata creata la copia e un link abbreviato per citare comodamente la copia archiviata.
Ma il decano dell’archiviazione, attivo da vent’anni, è Archive.org, il più grande archivio storico di pagine di Internet del mondo. Archive.org offre un servizio di salvataggio istantaneo delle pagine Web, raggiungibile presso Archive.org/web/, dove trovate l’opzione Save Page Now.
Aggiornate iOS (di nuovo): è attaccabile tramite Wi-Fi
April 7, 2017 6:44
Le informazioni pubblicate da Apple sono molto concise ma chiare: “un utente malintenzionato nelle vicinanze può causare l’esecuzione di codice arbitrario nel chip Wi-Fi”. Come spiega Naked Security, questa falla (CVE-2017-6975, scoperta da Gal Beniamini del Project Zero di Google) riguarda un componente diverso da quelli solitamente attaccati dai criminali informatici. Invece di toccare il processore, il sistema operativo oppure le app installate, questa vulnerabilità coinvolge i componenti elettronici della sezione Wi-Fi.
Il risultato è che attraverso un semplice segnale radio, di quelli usati dai punti d’accesso Wi-Fi, è possibile prendere il controllo dell’iPhone, dell’iPad o dell’iPod touch e fargli eseguire comandi a piacimento dell’aggressore. L’attacco non richiede che l’utente visiti un sito specifico: colpisce per il semplice fatto di avere il Wi-Fi attivo sul dispositivo.
È un difetto decisamente pesante, insomma. Per fortuna è già disponibile l’aggiornamento, che si dovrebbe installare automaticamente entro qualche giorno. Se preferite non aspettare e volete essere protetti subito, andate in Impostazioni - Generali - Aggiornamento software con il vostro dispositivo e scaricate manualmente l’aggiornamento.
