HP – una delle più grandi aziende di hardware al mondo – non è ancora scesa nell’arena degli smartwatch con un suo prodotto. Ma perché? Forse non lo ritiene un mercato redditizio o forse è ancora in fase di analisi; probabilmente sta valutando pro e contro, magari passando allo scanner prodotti e comportamenti dei competitor. Tant’è che recentemente ha scoperto che gran parte degli smartwatch in commercio è molto carente sotto l’aspetto della sicurezza.
Una sua divisione – la HP Fortify – ha realizzato un accurato studio sugli orologi intelligenti in commercio, arrivando alla conclusione che il 100% dei modelli analizzati presenta notevoli vulnerabilità, tra cui: insufficiente sicurezza nella procedura di autenticazione, mancanza di crittografia in determinate fasi e problemi vari inerenti la privacy dell’utente.
In esame sono stati presi i principali 10 modelli di smartwatch in vendita in questo momento, il che, in un mercato ancora giovanissimo, significa aver analizzato quasi l’intero mercato.
Dal punto di vista della sicurezza dell’apparecchio, il punto più debole è risultato essere l’accoppiamento tra il device wearable e il suo companion, ossia lo smartphone. Ma le criticità sono risultate varie e molteplici.
Nello specifico, in 9 casi su 10 la comunicazione dei dati sembra possa essere intercettata usando sistemi tutt’altro che complessi, mentre 7 degli smartwatch analizzati su 10 mancano completamente di un sistema di crittografia durante l’operazione di aggiornamento firmware.
Apple Watch
L’analisi ha portato alla luce anche il fatto che il collegamento ai server cloud, così come gli account usati dagli utenti per accedere al proprio dispositivo, presentano un’ampia gamma di problemi relativi la sicurezza, come ad esempio l’utilizzo di server SSL/TLS che non sono stati ancora protetti dalla falla di sicurezza Poodle scoperta all’inzio del 2015 (4 prodotti su 10) e la scelta di sistemi per il login al cloud che permettevano l’uso di password tutt’altro che sicure (3 prodotti su 10).
Ma la lista è purtroppo ancora lunga. Stranamente nessuno degli smartwatch analizzati presenta la possibilità di bloccare l’account a fronte di diversi tentativi di accesso non riusciti, dunque sono tutti esposti al rischio di un attacco di tipo “brute force”. Solo la metà dei prodotti poi ha un lock screen, dunque in caso di smarrimento del device non sarebbe affatto difficile per un estraneo accedere ai dati personali ivi contenuti.
Uno dei device analizzati presenta anche una caratteristica del tutto inaspettata: la presenza di un DNS server funzionante; questo lo espone al rischio di essere incluso in un attacco di tipo “DNS amplification” senza che l’utente che indossa l’orologio possa esserne affatto cosciente.
Gli analisti di HP sono rimasti sorpresi anche dalla mancanza di chiarezza e affidabilità riguardo la collezione dei dati degli utenti. Sembra che chi ha sviluppato questo tipo di device non abbia fatto molta attenzione a questo dettaglio tutt’altro che secondario. Tutti gli smartwatch messi sotto la lente raccolgono e contengono informazioni personali, come nome dell’utente, genere, indirizzo, data di nascita, peso, storico del battito cardiaco e altro ancora. Ma il fatto che per la loro protezione siano usate password poco resistenti ad attacchi, non fa dormire sonni tranquilli.
Cosa può fare dunque l’utente per rischiare il meno possibile? Non molto a dire il vero: gran parte del rischio proviene da problemi strutturali dei device; al massimo chi usa lo smartwatch può evitare di usare password semplici da individuare o di collegare il proprio orologio a reti che non ritiene sicure o ad apparecchi che non conosce.
Il report dell’analisi realizzata da HP Fortify, comunque, non scende in dettaglio, ossia non rivela quale specifico device sia affetto da ciascuna delle debolezze rilevate, il che potrebbe essere un modo per non fare del marketing negativo ai prodotti. Senza dubbio però punta i riflettori su di un problema enorme che forse finora il mercato non aveva ritenuto così importante.