AGA, la nota marca di cucine di fascia alta, ha pensato bene di far diventare “smart” uno dei suoi prodotti, ed è nata così la cucina iTotal Control. Questa cucina, come spiega con entusiasmo la sua pagina Web informativa, ha un forno che può essere acceso a distanza tramite un’app.
E a nessuno, a quanto pare, l’idea di poter accendere un forno in casa via Internet è sembrata neanche lievemente pericolosa.
Tant’è vero che i ricercatori della Pen Test Partners hanno scoperto che è facilissimo per chiunque prendere il controllo a distanza di questa cucina.
Secondo questi ricercatori, l’app della cucina non cifra le proprie comunicazioni e manda i messaggi in normale HTTP, per cui è facilissimo, per un aggressore, intercettare e modificare i comandi inviati.
L’app invia i comandi a un sito che poi invia un SMS alla cucina (sì, avete intuito correttamente: questa cucina ha una propria SIM e un proprio numero di telefonino).
La disinvoltura in fatto di sicurezza non finisce qui: la Pen Test ha scoperto che la pagina Web per la gestione degli account di controllo di queste cucine usa (di nuovo) HTTP al posto di HTTPS, per cui la password dell’utente transita su Internet senza protezioni; e soprattutto la pagina Web avvisa se si immette un numero di telefonino già iscritto al servizio.
A prima vista questo potrebbe sembrare un problema trascurabile, ma agli occhi di chi fa sicurezza informatica è una falla molto grave: infatti consente di tentare tutti i numeri di telefonino e trovare quelli delle cucine, compilando un elenco di numeri ai quali mandare comandi di accensione o spegnimento.
Ciliegina sulla torta, i ricercatori hanno raccontato che hanno avuto enormi difficoltà nel contattare qualcuno presso AGA per avvisare del problema: messaggi e telefonate rimasti senza risposta, promesse di essere richiamati mai mantenute, e i ricercatori sono stati persino bloccati su Twitter dagli account dell’azienda.
Paolo Attivissimo