Gli smartwatch presentano vulnerabilità significative, soprattutto in termini di autenticazione insufficiente, mancanza di crittografia e problemi di privacy.
Gli smartwatch presentano vulnerabilità significative, soprattutto in termini di autenticazione insufficiente, mancanza di crittografia e problemi di privacy. Uno studio condotto da HP Fortify fornisce alcuni consigli attuabili per lo sviluppo e l’uso sicuro degli smartwatch, sia a casa sia sul luogo di lavoro.
Con i progressi del mercato IoT, gli smartwatch stanno acquisendo popolarità e conterranno sempre più informazioni sensibili, ad esempio i dati sanitari, e attraverso la connettività con le app mobile potrebbero presto consentire funzioni di accesso fisico come l’apertura delle serrature di auto e abitazioni.
I problemi di sicurezza più comuni includono:
- Autorizzazione/autenticazione utente insufficienti: ogni smartwatch testato è stato associato a un’interfaccia mobile priva dell’autenticazione a due fattori e della capacità di bloccare gli account dopo 3-5 tentativi falliti di immissione della password. Tre su dieci si sono rivelati vulnerabili all’account harvesting: in pratica, un malintenzionato potrebbe ottenere l’accesso al dispositivo e ai dati attraverso una combinazione di policy debole per le password, mancanza del blocco dell’account ed enumerazione degli utenti.
- Mancanza di crittografia delle trasmissioni: la crittografia delle trasmissioni è cruciale, visto che le informazioni personali vengono trasferite in più posizioni all’interno del cloud. Anche se il 100% dei prodotti testati implementa la crittografia delle trasmissioni utilizzando SSL/TLS, il 40% delle connessioni al cloud continua a essere vulnerabile all’attacco POODLE, consente l’uso di cifrari deboli o impiega tuttora SSL v2.
- Interfacce non sicure: il 30% degli smartwatch testati utilizza interfacce Web basate su cloud, che presentano tutte problemi di enumerazione degli account. In un test separato, il 30% ha rivelato inoltre problemi di enumerazione degli account nelle relative app mobile. Questa vulnerabilità consente agli hacker di identificare gli account utente validi attraverso il feedback ricevuto dai meccanismi di reimpostazione della password.
- Software/firmware non sicuro: il 70% degli smartwatch presenta problemi di protezione legati agli aggiornamenti del firmware, tra cui la trasmissione degli aggiornamenti del firmware senza crittografia e l’assenza di crittografia dei file di aggiornamento. Tuttavia, molti aggiornamenti sono firmati per impedire l’installazione di firmware contaminato. Per quanto non sia possibile installare aggiornamenti dannosi, la mancanza di crittografia permette di scaricare e analizzare i file.
- Problemi di privacy: tutti gli smartwatch raccolgono alcune informazioni personali, quali nome, indirizzo, data di nascita, peso, sesso, frequenza cardiaca e altre informazioni sanitarie. Visti i problemi di enumerazione degli account e l’utilizzo di password deboli su alcuni prodotti, l’esposizione di queste informazioni personali è fonte di preoccupazione.
Ulteriori linee guida per l’uso sicuro degli smartwatch sono disponibili nel report completo.
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
