La società di sicurezza informatica F-Secure ha infatti scoperto un difetto di progettazione in una serratura “smart”, la KeyWe Smart Lock (in vendita per esempio su Amazon.com), che consente a un aggressore informatico di prendere facilmente il controllo della serratura.
Questa serratura “smart” permette di aprire e chiudere una porta usando un’app (perché oggi usare una chiave è così poco cool), ma ha un difettuccio: le comunicazioni fra l’app e la serratura avvengono tramite Bluetooth (la versione Low Energy), e a causa di come è scritto il software della serratura è sufficiente intercettare queste comunicazioni Bluetooth (uno sniffer costa pochissimo) per calcolare i codici di controllo della serratura.
La crittografia usata per le comunicazioni, infatti, è legata all’indirizzo hardware del dispositivo, per cui è facilmente aggirabile.
Ciliegina sulla torta, la serratura non è aggiornabile con un nuovo firmware: l’unico rimedio è cambiarla.
La casa produttrice introdurrà la possibilità di aggiornamento nei modelli futuri, ma quelli già venduti resteranno vulnerabili.
Trovate tutti i dettagli della vicenda nell’advisory e nell’analisi tecnica di F-Secure.
