Attenzione agli Smart Plug WiFi.

Il responsabile della sicurezza informatica della A&O IT Group, Richard Hughes, ha avvertito oggi i consumatori del Regno Unito di fare attenzione quando acquistano WiFi Smart Plug economici su Amazon, eBay o AliExpress, in quanto è stato riscontrato che alcuni dispositivi ospitano gravi vulnerabilità di sicurezza che possono lasciare gli utenti finali esposti agli attacchi informatici.

La ricerca ha esaminato due prese intelligenti come la Sonoff S26 e la Ener-J Wi-fi Smart Plug.

Entrambi i dispositivi costano circa 20 euro e ti consentono di accendere e spegnere i dispositivi utilizzando un’app WiFi da abbinare al tuo telefono cellulare o computer.

Dopo aver acquisito i dispositivi per se stesso, Richard ha quindi proceduto ad approfondire le vulnerabilità scoprendo vari “semplici errori di sicurezza”, come le password rese disponibili pubblicamente nelle guide dell’utente.

Ad esempio un dispositivo utilizza una password predefinita universale come la “12345678” ed inoltre la comunicazione tra Smart Plug Wi-Fi e App mobile avviene in HTTP, quindi senza cifrare il traffico in rete.

Questo consente l’acquisizione delle credenziali WiFi da parte di un malintenzionato nei paraggi.

Inoltre, Richard è anche riuscito a caricare firmware dannoso sui dispositivi, un’operazione che consente di sapere le posizioni esatte delle prese intelligenti, oltre a consentire ai criminali informatici di lanciare attacchi dalle reti WiFi degli utenti senza essere scoperti .

Richard ha avvertito che la divisione di sicurezza di A&O a comunicato alle rispettive aziende le vulnerabilità rilevate ma non ha ancora ricevuto una risposta.

D’altra parte, una cosa che costa così poco non potrà mai avere un sistema di cambio automatico della password (o dei certificati) centralizzato con un server remoto. Questo accade sui piccoli dispositivi wifi che molto spesso contengono la password di default, come spesso accade per la password del protocollo zigbee cablata all’interno dei firmware.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.