Aggiornamenti recenti Ottobre 4th, 2024 9:00 AM
Mag 28, 2018 Marco Schiaffino News, RSS, Vulnerabilità 1
L’incubo IoT non ha mai fine. Oltre all’eterna quesitone legata alle vulnerabilità in remoto che hanno fatto la fortuna delle varie botnet (Mirai, Reaper e soci) comparse negli ultimi mesi, ora salta fuori una falla di sicurezza battezzata Z-Shave, che consentirebbe di portare attacchi molto più “ravvicinati” ai dispositivi della Internet of Things.
Il problema, come spiegano i ricercatori di Pen Test Partners in un dettagliato report, si annida nel protocollo Z-Wave e in particolare nel sistema di pairing utilizzato dal diffusissimo protocollo.
Z-Wave, utilizzato da almeno 2.400 produttori, sfruttava in origine un sistema di pairing con protezione decisamente “debole”, chiamato S0 e sostituito in seguito con il più robusto standard S2.
La differenza tra i due standard riguarda la chiave utilizzata per le comunicazioni tra il controller e i vari dispositivi al momento de pairing. Il vecchio standard, infatti, utilizzava una chiave crittografica predefinita (composta da zeri) che permetteva di compromettere il processo.
Purtroppo, però, nei dispositivi questa procedura è stata mantenuta per consentire la compatibilità con i vecchi controller e i ricercatori di Pen Test Partners hanno trovato un modo per forzarne l’utilizzo.
Nel rapporto vengono descritte tre modalità di attacco diverse, che permettono (in maniera più o meno articolata) di prendere il controllo di un dispositivo attraverso il downgrade della procedura di pairing.
Le prime due ipotesi configurano uno scenario in cui l’attaccante è presente al momento del pairing (in caso di installazione del dispositivo o quando viene sostituita la batteria) mentre la terza ipotesi prevede l’uso di un dispositivo in grado di “jammare” le comunicazioni tra il controller e i dispositivi.
Insomma, nulla che consentirebbe un uso della vulnerabilità su larga scala, ma che lascia aperto il pericolo che la tecnica venga utilizzata per portare attacchi mirati da parte di un pirata informatico che abbia abbastanza pazienza (o motivazione) per aspettare il momento giusto e colpire.
Ago 29, 2024 0
Lug 09, 2024 0
Lug 05, 2024 0
Mag 24, 2024 0
Ott 04, 2024 0
Ott 03, 2024 0
Ott 02, 2024 0
Ott 02, 2024 0
Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Set 24, 2024 0
Negli ultimi anni gli ambienti OT sono diventati sempre...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 02, 2024 0
Tra le minacce alla sicurezza aziendale, l’errore...Ott 02, 2024 0
I ricercatori di Bitsight TRACE hanno individuato alcune...
One thought on “Attacco a Z-Wave mette a rischio milioni di dispositivi IoT”