Fuga di dati dai nostri oggetti intelligenti, dalle smart tv ai dispositivi Amazon: parte un progetto per monitorarli dall'Università di New York • W3B Today

“Abbiamo creato il più grande set di dati conosciuto sul traffico della rete domestica intelligente da parte di ricercatori accademici. Questi dati rivelano nuove informazioni sulle minacce alla sicurezza e alla privacy sui dispositivi del mondo reale in circolazione. Ad esempio, ci sono molti casi in cui la crittografia non è implementata o è implementata in modo errato. Circa il 36% dei dispositivi comunica tramite HTTP in testo semplice, compresi i dispositivi realizzati da Amazon. Per i dispositivi che utilizzano TLS, circa il 10% di questi dispositivi utilizzava versioni obsolete come SSL 3.0 e TLS 1.0, compresi i dispositivi realizzati da Samsung. Di conseguenza, un utente malintenzionato sul percorso potrebbe potenzialmente condurre un attacco man-in-the-middle su tali dispositivi”, spiega Danny Yuxing Huang, assistente professore alla New York University in un video di presentazione del progetto di monitoraggio che sta attuando.

“Un esempio di rischi per la privacy sono le smart TV. Abbiamo esaminato 417 smart TV nel nostro set di dati e i domini registrati che abbiamo contattato. Circa il 22% di questi domini appartengono a servizi pubblicitari e di tracciamento. Infatti, il 34% delle smart TV parla con i domini pubblicitari di Google e circa il 5% delle smart TV parla con i servizi pubblicitari e di monitoraggio di proprietà di Comcast. Attualmente stiamo collaborando con una serie di istituzioni come l’Università di Chicago e la Carnegie Mellon University. Gli argomenti includono l’identificazione del dominio IoT, la creazione di firewall per i dispositivi IoT, lo studio della percezione della privacy degli utenti e la conduzione di ricerche sanitarie.

Abbiamo lanciato un crowdsourcing del traffico di rete da migliaia di dispositivi IoT reali in tutto il mondo. Molti dispositivi IoT domestici intelligenti rappresentano una minaccia per la sicurezza e la privacy degli utenti.

Non esitate a contattarci se siete interessati a svolgere ricerche con il più grande set di dati conosciuto del traffico IoT. Per ulteriori informazioni, visitare IOTinspector.org.

Una sfida chiave nello studio della sicurezza e della privacy di questi dispositivi intelligenti è la scala. Un metodo tipico prevede che i ricercatori acquistino dozzine di dispositivi domestici intelligenti, li installino in laboratorio, interagiscano manualmente con questi dispositivi, catturino il traffico di rete e cerchino di identificare eventuali minacce alla sicurezza e alla privacy. Il problema è che questo metodo è difficile da estendere a centinaia o addirittura migliaia di diversi tipi di dispositivi domestici intelligenti.

Per studiare le minacce alla sicurezza e alla privacy dei dispositivi del mondo reale, dobbiamo raccogliere il traffico di rete dai dispositivi domestici intelligenti su larga scala. A tal fine, abbiamo deciso di effettuare il crowdsourcing del traffico di rete da veri utenti domestici intelligenti. Ma come possiamo convincere migliaia o addirittura centinaia di migliaia di persone ad aiutarci nel crowdsourcing di questi dati? Abbiamo creato uno strumento software utilizzabile che fornisce ai volontari approfondimenti sulla sicurezza e la privacy dell’IoT con un clic. In cambio, chiediamo agli utenti il consenso e raccogliamo i loro dati sul traffico di rete in forma anonima. Questo strumento che abbiamo creato si chiama IoT Inspector. Chiunque può visitare iotinspector.org per scaricare questo strumento.

Una volta che un utente scarica ed esegue IoT Inspector sui propri computer Mac, Linux o Windows, IoT Inspector mostra un elenco di dispositivi nella stessa rete. Gli utenti possono quindi esaminare varie visualizzazioni dei dispositivi domestici intelligenti nel loro traffico, come l’identificazione, il monitoraggio e i servizi pubblicitari o controllando se i loro dispositivi inviano grandi volumi di dati quando il dispositivo non viene utilizzato. Tieni presente che gli utenti non necessitano di hardware aggiuntivo. IoT Inspector viene eseguito sui loro computer. E gli utenti non hanno nemmeno bisogno di modificare le impostazioni del router. Quindi, in che modo IoT Inspector raccoglie i dati sul traffico di rete? IoT Inspector funziona utilizzando una tecnica nota come spoofing ARP.

Supponiamo che una fotocamera intelligente sia collegata al router wireless. Affinché IoT Inspector possa acquisire il traffico, il traffico deve essere reindirizzato a IoT Inspector. E per reindirizzare questo traffico, IoT Inspector invia regolarmente un messaggio ARP alla telecamera che dice, ciao telecamera, sono il router wireless. Allo stesso tempo, IoT Inspector invia regolarmente un messaggio ARP al router wireless che dice: ciao router, sono la fotocamera. Questi messaggi ARP convincono la telecamera che IoT Inspector è il router e convincono il router che è la telecamera. Quindi ora tutto il traffico tra una telecamera e un router wireless passa attraverso IoT Inspector. Lo spoofing ARP consente a IoT Inspector di raccogliere traffico senza che gli utenti debbano riconfigurare i propri gateway o reimpostare i propri dispositivi intelligenti o acquistare hardware aggiuntivo. Pochi clic e gli utenti possono identificare potenziali problemi di sicurezza e privacy sulla propria rete domestica intelligente.

Da quando abbiamo implementato lo strumento nell’aprile 2019, abbiamo attirato più di 5.500 utenti in tutto il mondo e utilizzato lo strumento per ispezionare più di 55.000 dispositivi. Questi numeri sono ancora in crescita, poiché chiunque può scaricare lo strumento proprio adesso. Tra gli utenti ci sono giornalisti del Washington Post e della National Public Radio, che hanno utilizzato IoT Inspector per indagare sulle fughe di privacy sulle smart TV”

Danny Yuxing Huang, assistente professore alla New York University

Qui trovare la presentazione integrale del progetto: https://www.youtube.com/watch?v=-uzG3B1Z7J8