Lo studio porta la firma di Davide Bonaventura e Giampaolo Bella di Unict e di Sergio Esposito della University of London
Un dispositivo seppur semplice come una lampadina smart può diventare vettore di attacco alla privacy degli utenti finali. Lo stesso vale per la sicurezza di tutti i dispositivi smart, quindi interconnessi, della propria abitazione.
Ad evidenziare i problemi di sicurezza dei dispositivi interconnessi è il recente articolo scientifico dal titolo Smart Bulbs can be Hacked to Hack into your Household di tre ricercatori del dipartimento di Matematica e Informatica dell’Università di Catania pubblicato nei giorni scorsi sulla rivista Arvix della Cornell University.
Il lavoro porta la firma del giovanissimo Davide Bonaventura che nei giorni scorsi ha concluso il percorso di laurea magistrale in Informatica, del prof. Giampaolo Bella, coautore della ricerca e docente di riferimento negli ambiti della cybersecurity e della privacy, e del dottore di ricerca Sergio Esposito del prestigioso Information Security Group della Royal Holloway della University of London.
Il team ha scoperto ben quattro vulnerabilità contro la lampadina smart che risulta attualmente best seller sul mercato italiano, la Tapo L530E prodotta dalla TP-Link.
«Pur avendo utilizzato strumenti software gratuiti, siamo riusciti ad esfiltrare le credenziali utente per l’account Tapo grazie alle vulnerabilità trovate sulla lampadina, riuscendo così a comandare tutti gli eventuali altri dispositivi Tapo eventualmente presenti, incluse prese smart che avrebbero potuto alimentare forni da cucina o sistemi di sorveglianza», commenta il dott. Davide Bonaventura.
Il prof. Giampaolo Bella ha rimarcato il lavoro encomiabile del suo team di ricerca, che da qualche anno scopre e risolve vulnerabilità gravi su dispositivi di vastissimo utilizzo, come stampanti, telecamere e assistenti vocali della tiratura di Amazon Alexa, contribuendo così a proteggere ciascuno di noi.
«Potrebbe risultare controintuitivo che una lampadina intelligente, apparentemente incapace di arrecare alcun danno ai nostri sistemi informatici, possa invece diventare una porta d’ingresso per criminali informatici sulla nostra rete domestica, ammettendoli all’interno del nostro wi-fi», spiega il docente del Dipartimento di Matematica e Informatica.
I tre hanno anzitutto tenuto riservate le loro scoperte, discutendole esclusivamente col produttore.
«I tecnici della Tapo hanno mostrato sin da subito massima attenzione alle problematiche che gli abbiamo segnalato privatamente e si sono subito messi al lavoro per sviluppare i nostri progetti di soluzioni software, chiedendo via via a noi di verificare che fossero efficaci e, quindi, distribuendole su tutti i dispositivi esistenti al mondo», commenta il dott. Sergio Esposito.
Le quattro vulnerabilità riscontrate sono state altresì riconosciute dal MITRE, l’agenzia per la Cybersecurity statunitense, che ha assegnato livelli di gravità fino a 8.8 su un massimo di 10, in particolare alla debolezza della procedura di autenticazione dell’utente.
L'Università di Catania rimane impegnata nell'avanzamento delle conoscenze e nella promozione della ricerca, mentre questi risultati sulle lampadine intelligenti sottolineano l'impegno nell'affrontare le sfide emergenti in materia di cybersecurity col fine di contribuire allo sviluppo di tecnologie più affidabili per gli utenti finali.
Da sinistra Giampaolo Bella, Davide Bonaventura e Sergio Esposito