Vulnerabilità IoT dei consumatori: quando interconnettività significa rischi condivisi

• Autore:
• Nome dell'autore

  Preveggenza quantistica
• Luglio 5, 2023

Punti salienti di approfondimento

Mentre il settore dell'Internet of Things (IoT) continua a innovarsi, è alle prese con notevoli problemi di sicurezza informatica a causa del fatto che i consumatori trascurano di aggiornare le password predefinite dei dispositivi e i produttori introducono funzionalità non testate. Queste sfide sono aggravate dalla mancanza di divulgazioni pubbliche delle vulnerabilità e dalle aziende che non dispongono di un piano chiaro per gestirle. Sebbene vi sia un certo utilizzo di accordi di non divulgazione, programmi di bug bounty e Coordinated Vulnerability Disclosure (CVD) come strategie di gestione del rischio, l'adozione a livello di settore delle politiche di divulgazione delle vulnerabilità rimane bassa. 

Contesto delle vulnerabilità IoT dei consumatori

Sebbene ci siano vantaggi per dispositivi come gli assistenti domestici e le telecamere di sicurezza intelligenti, il settore dell'IoT ha ancora molta strada da fare in termini di sicurezza informatica. Nonostante i progressi nella progettazione e nelle infrastrutture, questi dispositivi rimangono vulnerabili agli attacchi informatici. Questo problema è ulteriormente aggravato dal fatto che molti consumatori non conoscono le migliori pratiche per l'aggiornamento dei sistemi operativi dei propri dispositivi. Secondo l'IoT Magazine, il 15% di tutti i proprietari di dispositivi IoT non modifica le password predefinite, il che significa che gli hacker possono accedere al 10% di tutti i dispositivi correlati con solo cinque combinazioni di nome utente e password.

Altre sfide alla sicurezza sono radicate nel modo in cui questi dispositivi vengono configurati o mantenuti. Se una macchina o un software non viene protetto, ad esempio non può essere aggiornato con nuovi aggiornamenti di sicurezza o gli utenti finali non possono modificare la password predefinita, potrebbe facilmente esporre la rete domestica di un consumatore a un attacco informatico. Un'altra sfida è quando uno sviluppatore chiude e nessuno rileva il suo software o le sue piattaforme. 

Gli attacchi Internet of Things variano a seconda della macchina o dell'infrastruttura. Ad esempio, le vulnerabilità del software o del firmware possono consentire agli hacker di aggirare i sistemi di sicurezza dei veicoli elettrici (EV). Nel frattempo, alcuni produttori di IoT spesso aggiungono nuove funzionalità ai propri dispositivi o interfacce senza testarle a fondo. Ad esempio, qualcosa di apparentemente semplice, come un caricabatterie per veicoli elettrici, può essere violato per sovraccaricare o sovraccaricare, causando danni fisici.

Impatto dirompente

Secondo un sondaggio del 2020 condotto dalla IoT Security Foundation, una delle aree in cui i produttori di IoT non stavano facendo abbastanza era fornire informazioni pubbliche sulla vulnerabilità. Un modo fondamentale per migliorare la sicurezza dei dispositivi connessi all'IoT è rendere più semplice per i ricercatori segnalare le vulnerabilità che trovano direttamente ai produttori. Allo stesso tempo, le aziende devono comunicare come risponderanno una volta che queste preoccupazioni saranno state identificate e quale periodo di tempo ci si può aspettare per patch software o altre correzioni.

Per combattere le minacce emergenti alla sicurezza informatica, alcune aziende si affidano ad accordi di non divulgazione. Altri attirano i ricercatori con bug bounty (ovvero pagando per le vulnerabilità scoperte). Esistono anche servizi specializzati che le aziende possono utilizzare per gestire le divulgazioni e i programmi di bug bounty. Un'altra tecnica per la gestione dei rischi è la Coordinated Vulnerability Disclosure (CVD), in cui il produttore e il ricercatore lavorano insieme per risolvere un problema e quindi rilasciano contemporaneamente sia il rapporto di correzione che quello di vulnerabilità per ridurre possibili danni agli utenti. 

Sfortunatamente, alcune aziende non hanno piani per la gestione delle divulgazioni. Mentre il numero di aziende con politiche di divulgazione delle vulnerabilità è salito al 13.3% nel 2019 dal 9.7% nel 2018, l'adozione da parte del settore è rimasta generalmente bassa (2022). Fortunatamente, ci sono normative in aumento che impongono politiche di divulgazione. Nel 2020, il governo degli Stati Uniti ha approvato l'Internet of Things Cybersecurity Improvement Act, che richiede ai fornitori di IoT di avere politiche di divulgazione vulnerabili prima di vendere alle agenzie federali. 

Implicazioni delle vulnerabilità IoT dei consumatori

Le implicazioni più ampie delle vulnerabilità IoT dei consumatori possono includere: 

• I governi regolano i produttori di IoT per avere politiche di divulgazione e test rigorosi e trasparenti.
• Più aziende tecnologiche formano associazioni per concordare standard comuni e sviluppare protocolli di sicurezza informatica unificati che possono rendere i dispositivi interoperabili e sempre più sicuri.
• Smartphone e altri dispositivi di consumo personali che implementano l'autenticazione multifattoriale avanzata e l'identificazione biometrica per migliorare la sicurezza informatica.
• Maggiori investimenti nella sicurezza informatica dei veicoli elettrici e autonomi per prevenire il dirottamento digitale.
• Più attacchi di intercettazione, in cui i criminali si impossessano di canali di comunicazione non crittografati; questa tendenza alla criminalità può portare un maggior numero di consumatori a preferire le app di messaggistica crittografate (EMA).
• Più incidenti di attacchi di ingegneria sociale che sfruttano una protezione con password debole, soprattutto tra gli utenti di dispositivi meno recenti.

Domande da commentare

• Come garantite che i vostri dispositivi IoT siano ben protetti?
• In quali altri modi i consumatori possono migliorare la sicurezza dei propri dispositivi IoT?