Redazione RHC : 18 Maggio 2021 13:33
Il responsabile della sicurezza informatica della A&O IT Group, Richard Hughes, ha avvertito oggi i consumatori del Regno Unito di fare attenzione quando acquistano WiFi Smart Plug economici su Amazon, eBay o AliExpress, in quanto è stato riscontrato che alcuni dispositivi ospitano gravi vulnerabilità di sicurezza che possono lasciare gli utenti finali esposti agli attacchi informatici.
La ricerca ha esaminato due prese intelligenti come la Sonoff S26 e la Ener-J Wi-fi Smart Plug.
Entrambi i dispositivi costano circa 20 euro e ti consentono di accendere e spegnere i dispositivi utilizzando un’app WiFi da abbinare al tuo telefono cellulare o computer.
Dopo aver acquisito i dispositivi per se stesso, Richard ha quindi proceduto ad approfondire le vulnerabilità scoprendo vari “semplici errori di sicurezza”, come le password rese disponibili pubblicamente nelle guide dell’utente.
Ad esempio un dispositivo utilizza una password predefinita universale come la “12345678” ed inoltre la comunicazione tra Smart Plug Wi-Fi e App mobile avviene in HTTP, quindi senza cifrare il traffico in rete.
Questo consente l’acquisizione delle credenziali WiFi da parte di un malintenzionato nei paraggi.
Inoltre, Richard è anche riuscito a caricare firmware dannoso sui dispositivi, un’operazione che consente di sapere le posizioni esatte delle prese intelligenti, oltre a consentire ai criminali informatici di lanciare attacchi dalle reti WiFi degli utenti senza essere scoperti .
Richard ha avvertito che la divisione di sicurezza di A&O a comunicato alle rispettive aziende le vulnerabilità rilevate ma non ha ancora ricevuto una risposta.
D’altra parte, una cosa che costa così poco non potrà mai avere un sistema di cambio automatico della password (o dei certificati) centralizzato con un server remoto. Questo accade sui piccoli dispositivi wifi che molto spesso contengono la password di default, come spesso accade per la password del protocollo zigbee cablata all’interno dei firmware.
RedazionePiaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrime...
Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password. Non si tratta di semplici elenchi...
Sulla veranda di una vecchia baita in Colorado, Mark Gubrud, 67 anni, osserva distrattamente il crepuscolo in lontananza, con il telefono accanto a sé, lo schermo ancora acceso su un’app di notizie...
Anthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
Il lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
