La privacy al tempo dell’Internet of Things: secondo interludio

No, non me ne sono dimenticato, anzi l’ho messo apposta da parte per poterne parlare più diffusamente ora.

Perché la dimostrazione paradigmatica (erano anni che cercavo una scusa per usare questa parola!) dell’insicurezza intrinseca dei dispositivi IoT attuali è data da Amazon Key, il nuovo servizio di Amazon che permette ad un corriere di consegnare un pacco a casa nostra anche quando siamo assenti.1

Amazon infatti ha un problema: con il servizio Amazon Prime si è impegnata a consegnare un gran numero di prodotti entro due giorni. Me se il corriere arriva quando la casa è vuota, la consegna non avviene. Non è colpa di Amazon, è chiaro, ma nell’economia digitale questo dettagio è irrilevante, conta solo il fatto che se i tempi si allungano i clienti sono meno invogliati a comprare e di conseguenza i profitti soffrono.

Per questo Amazon ha sviluppato il kit Amazon Key In-Home, costituito da una videocamera proprietaria ad alta risoluzione basata sul cloud e da una di quelle serrature non tanto intelligenti di cui si parlava ieri.

Una volta installato il kit, quando il corriere arriva davanti alla porta di casa scansiona il codice a barre del pacco e lo trasmette al servizio di Amazon. Se è tutto a posto, la serratura si sblocca e la videocamera inizia a registrare. Il corriere entra in casa, lascia il pacco, richiude la porta e chiede ad Amazon di bloccare di nuovo la serratura, tutto sotto l’occhio vigile della videocamera di sicurezza. Il cliente intanto viene informato della consegna tramite lo smartphone e riceve anche un video tranquillizzante che mostra come si è svolta la procedura.

Semplice, veloce e funzionale, apparentemente a prova di bomba. Ma è bastata solo una settimana per craccare il servizio.

La debolezza sta nel modo in cui viene gestito il blocco della serratura dopo la consegna.

Un corriere disonesto infatti può limitarsi a chiudere la porta senza richiedere la chiusura la serratura, mentre lancia da un portatile (ma basta anche un microscopico RaspberryPi) un programmino che mette offline la videocamera senza che il cliente se ne accorga. Anzi, il cliente continua a vedere l’ultima immagine registrata prima del blocco, quella della porta chiusa, che è esattamente ciò che si aspetta.

Intanto il corriere si ficca in casa, chiude di nuovo la porta, si allontana dal raggio di azione della videocamera e rimette online la videocamera, inviando regolarmente ad Amazon la richiesta di blocco della porta. Tutto si svolge in pochi secondi e senza che nessuno, prima di tutto Amazon, possa sospettare nulla. Intanto il delinquente è libero di aggirarsi per la casa, per rubare o ficcare il naso fra le nostre cose.

Non ci vuole molto per correggere questa vulnerabilità, basta inviare un’allerta al servizio ogni volta che la videocamera va offline anche per pochissimi secondi (ad esempio per uno sbalzo di tensione o per un blocco del router Wi-Fi), in particolare durante la consegna. Ma è probabile che prima o poi vengano fuori altre vulnerabilità, e comunque da Amazon ci si poteva (e ci si doveva) aspettare fin dall’inizio un meccanismo di sicurezza più affidabile.

Per quanto mi riguarda, penso che sia preferibile aspettare un pacco un giorno in più piuttosto che farsi svaligiare la casa. Forse le vecchie Poste non avevano tutti i torti a prendersela comoda.


  1. E in futuro di ordinare altri servizi del tutto impensabili qui da noi, come far pulire la casa mentre siamo assenti o far fare la passeggiatina al cane. 
Annunci
Tagged with: , , , , ,
Pubblicato su hardware

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...

Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow Melabit on WordPress.com
Categorie
%d blogger hanno fatto clic su Mi Piace per questo: