Quanto sono sicuri gli smartwatch?
HP ha reso noti oggi i risultati di una ricerca che conferma come gli smartwatch dotati di funzionalità di rete e comunicazione rappresentino una nuova frontiera sensibile agli attacchi informatici. Lo studio, condotto da HP Fortify e basato sulla metodologia di test IoT di HP Fortify on Demand che combina i test manuali con l’uso di strumenti automatizzati, ha rilevato che il 100% dei dieci smartwatch testati presenta vulnerabilità significative, in termini ad esempio di autenticazione insufficiente, mancanza di crittografia e problemi di privacy.
La cosa inizia ad assumere una certa importanza visto che gli smartwatch, soprattutto dopo l’uscita dell’Apple Watch che ha letteralmente fagocitato questo mercato, stanno diventando sempre più mainstream e conterranno sempre più informazioni sensibili come i propri dati sanitari e, attraverso la connettività con le app mobile, potrebbero presto consentire funzioni di accesso fisico come l’apertura delle serrature di auto e abitazioni.
I problemi di sicurezza più comuni e di facile risoluzione scoperti dallo studio di HP sono i seguenti.
Autorizzazione/autenticazione utente insufficienti: ogni smartwatch testato è stato associato a un’interfaccia mobile priva dell’autenticazione a due fattori e della capacità di bloccare gli account dopo 3-5 tentativi falliti di immissione della password.
Mancanza di crittografia delle trasmissioni: anche se il 100% dei prodotti testati implementa la crittografia delle trasmissioni utilizzando protocolli SSL/TLS, il 40% delle connessioni al cloud continua a essere vulnerabile all’attacco POODLE, consente l’uso di cifrari deboli e impiega tuttora SSL v2.
Interfacce non sicure: in un test separato, il 30% degli smartwatch ha rivelato problemi di enumerazione degli account nelle relative app mobile. Si tratta di vulnerabilità che potrebbe consentire agli hacker di identificare gli account utente validi attraverso il feedback ricevuto dai meccanismi di reimpostazione della password.
Software/firmware non sicuro: ben il 70% degli smartwatch presenta problemi di protezione legati agli aggiornamenti del firmware, tra cui la trasmissione degli aggiornamenti del firmware senza crittografia e l’assenza di crittografia dei file di aggiornamento.
Problemi di privacy: tutti gli smartwatch raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, peso, sesso, frequenza cardiaca e altre informazioni sanitarie. È logico che un’eventuale esposizione di queste informazioni personali sia fonte di preoccupazione.
HP fornisce inoltre una piccola guida per evitare problemi di sicurezza utilizzando uno smartwatch. Si consiglia agli utenti di non attivare le funzioni di controllo di accesso sensibili come l’accesso all’auto o alla abitazione, a meno che non sia garantita un’autorizzazione forte. Inoltre utilizzando password complesse e istituendo l’autenticazione a due fattori, è possibile aiutare a prevenire l’accesso non autorizzato ai dati. Queste misure di sicurezza non solo sono importanti per proteggere i dati personali, ma sono cruciali nel momento in cui gli smartwatch vengono introdotti nell’ambiente di lavoro e connessi alle reti aziendali.
“Gli smartwatch hanno appena iniziato a far parte della nostra vita, ma offrono un nuovo livello di funzionalità che potrebbe aprire la porta a nuove minacce per le attività e le informazioni sensibili. Con l’accelerazione nell’adozione degli smartwatch, la piattaforma diverrà molto più attraente per coloro che intendono abusare delle possibilità di accesso; è pertanto fondamentale prendere precauzioni durante la trasmissione di dati personali o la connessione degli smartwatch alle reti aziendali” ha dichiarato Jason Schmitt, General Manager di HP Security.