USA: hackerato sistema Nest di una famiglia, l'azienda nega falla di sicurezza

06 Febbraio 2019 86

Pochi giorni fa, una famiglia dell'Illinois ha avuto una sgradevole esperienza legata a Nest, ovvero il brand di prodotti Google dedicati alla smart home (l'azienda era stata acquistata dal colosso di Mountain View nel 2014 e pare sia in procinto di cambiare nome): a quanto pare, uno sconosciuto è riuscito a introdursi nel sistema di videosorveglianza e smart home per spiare le mosse degli abitanti della casa, interagendo in modo inquietante col figlio piccolo della coppia.

Qualcosa di simile era avvenuto qualche mese fa anche con Swann Security, quando le telecamere di sicurezza avevano inviato un video all'utente sbagliato.

La scoperta è avvenuta per caso: durante quella che sembrava una domenica come tante altre, il signor Arjun Sud è passato vicino alla porta della camera del figlio e inaspettatamente ha sentito una voce profonda rivolgersi al bambino di soli sette mesi. Entrato in camera, la voce si è interrotta, così il signor Sud e la moglie hanno pensato si fosse trattato di un'interferenza del baby monitor.

Pochi minuti dopo, tuttavia, il fenomeno si è ripetuto; anzi, lo sconosciuto si è rivolto direttamente ai genitori del bambino attraverso la telecamera di sicurezza Nest, usando anche termini razzisti particolarmente offensivi. Ma non è tutto: l'hacker si sarebbe anche divertito a giocare col termostato collegato al sistema di smart home, aumentando a dismisura la temperatura della stanza del bambino.

I coniugi. Fonte: CBS

Un'esperienza che ha lasciato scossi i due coniugi, i quali - dopo aver registrato l'accaduto con una fotocamera - hanno scollegato le telecamere di sorveglianza affrettandosi a contattare la polizia e la stessa Nest. L'azienda tuttavia si sarebbe smarcata da ogni responsabilità, asserendo che l'hackeraggio era stato reso possibile dall'assenza dell'autenticazione a due fattori e dall'utilizzo di una password vulnerabile, già utilizzata per un altro servizio.

La spiegazione non è piaciuta alla famiglia, che - secondo quanto riportato in un'intervista alla CBS - ha affermato di non essere a conoscenza della possibilità dell'autenticazione a due fattori (introdotta nel 2017); pare non sia stato nemmeno possibile sapere da quanto tempo il sistema domestico fosse stato hackerato, e da quanto, quindi, lo sconosciuto avesse accesso a immagini e audio provenienti dall'abitazione privata.

A distanza di qualche giorno, Nest ha fornito delle precisazioni, dopo aver contattato una serie di clienti che avevano riscontrato problemi con il sistema di smart home. Come ha spiegato Rishi Chandra, VP e General Manager dell'azienda, la sicurezza generale del sistema non è stata compromessa; si tratterebbe invece di un caso di password riutilizzate per altri servizi:

"Anche se Nest non è stato violato, i clienti potrebbero essere vulnerabili perché i loro indirizzi mail e le relative password sono disponibili su internet. Infatti, se un sito è compromesso, è possibile che malintenzionati si approprino di indirizzi e password, guadagnandosi così l'accesso a tutti gli account legati alle stesse credenziali".


Inoltre, ha aggiunto Chandra, Nest monitora le possibili fughe di credenziali e provvede a disabilitare preventivamente gli account la cui sicurezza potrebbe essere stata compromessa; quando gli utenti scelgono le password, inoltre, il sistema le confronta con una lista di password potenzialmente a rischio. L'autenticazione a due fattori, infine, fornisce un'ulteriore protezione poiché necessita dell'accesso all'applicazione o agli SMS ricevuti dallo smartphone per poter concludere il processo di login.

Il caso della famiglia Sud sottolinea, insomma, i rischi della diffusione delle password legate a servizi compromessi: un problema ancor più preoccupante se si considerano sistemi di smart home e di sicurezza, che danno accesso diretto alle case degli utenti ignari. Il consiglio, allora, è sempre lo stesso: usare password diverse, uniche e con un buon livello di sicurezza per ogni servizio, e usufruire dell'autenticazione a due fattori quando possibile.

La riconferma di un'azienda che cerca l'equilibrio tra prestazioni al top e prezzo competitivo? OnePlus 6T, in offerta oggi da Mobzilla.it a 465 euro oppure da ePrice a 565 euro.

86

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
FreeEnd

Sinceramente se prendi una camera di sicurezza e non vuoi attivare il 2 fattori sei un ca zz0 di pi rl a

jose manu

La domanda sarebbe come ha avuto la password

Teomondo Scrofalo

Ma che clone, io guardavo l'asta tosta ogni singola domenica sera che il signore ha inviato sulla terra! Lo prova il provolezzo, la prova del pettegolezzo! ;)

scrofalo

Peggio ancora, peggio ancora. Amico clone e copione.

Teomondo Scrofalo

Compa il bambino è un NEONATO!

Teomondo Scrofalo

Infatti come il barbiere che gira sempre spettinato o il meccanico con l'auto sempre rotta, un classico....

Aster

Non dico cloud soltanto, ma farla funzionare! Non va proprio se non sei online

Aster

:)

Homer76

Serve maggiore consapevolezza dei rischi, invece, si diffonde solo paura.

Alexv

Perché molti hanno bisogno per l'account anche per trasferire due foto dal cellulare al pc. Ora non so se Nest offre una configurazione guidata in locale, però molti spingono ad usare i propri servizi da remoto, specialmente se dietro c'è Google. Resta comunque il fatto che la superficialità o poca preparazione più mettere in pericolo anche la lan se questa è connessa a internet. Forse si dovrebbe usare un router non connesso per stare quasi al sicuro.
Certo che è paradossale stare qui a discutere dei problemi di sicurezza legati a un sistema di videosorveglianza :D

sopaug

Ma no, io ho una dlink (a memoria non ricordo il modello, una fisheye) che il cloud nemmeno sa cosa sia...

ADM90

Se uno ha questi affari sicuramente avrà uno smartphone

Aster

si ma sono tutte in cloud o server remoto.Nessuna che funzioni in locale,anzi alcune hanno solo codice qr per configurarle che e peggio:)

marauder64

Non tutti hanno uno smartphone però

sopaug

beh di quelle è pieno il mondo dai... Certo, non Nest, vogliono essere mainstream e quindi solo cloud.

Aster

No mi riferisco più che altro anche a una telecamera wifi ip

sopaug

perchè dal punto di vista del produttore, che vuole abbracciare una fetta ampia di pubblico, è visto come un doppione inutile, quindi molto probabilmente per questione di costi. Che poi in realtà non è sempre vero, ma dipende a che componenti ti rivolgi, quelli più commerciali tipo nest solo cloud e ciao, altri tipo shelly puoi disabilitare il cloud e usare mqtt http ecc in rete locale.

sagitt

Mah guarda quando dovevo farlo io una vpn mi sono imbattuto in uno script che fa tutto lui..

sagitt

Basta un raspberry per quello ormai

Marcomanni

L'autenticazione a due fattori serve anche a non perdere l'account. Password che si recupera da codice sms. Quindi la cifra di 3 numeri da aggiungere è alquanto inutile.

Marcomanni

Non c'è nessun sistema hakerato, il tizio ha semplicemente trovato la password. Potrebbe tranquillamente appena saper accendere il PC, altro che hacker o via dicendo.

Io sono io

Ogni tanto fai apparire :"Grazie di esserti collegato, continuando dichiari di essere maggiorenne e di acconsentire l'addebito di 1 dollaro al minuto "
Poi vedi come lascia perdere!

Chiedevo, pensavo intedessi un servizio terzi, infatti mi sembrava strano.

JO

mi sembra abbastanza ovvio, che, trattandosi di nest, il termostato fosse di nest... inutile indagare sullo smartphone... se è stata hackerato il sistema perché magari (come detto nell'articolo) "l'hacker" ha ottenuto la password da un altro sistema compromesso (una password magari utilizzata su yahoo mail o ebay o uno dei tanti altri servizi che negli ultimi anni sono stati bucati) e riutilizzata su Nest.

sagitt

a lui non interessa avere qualcosa di decente e basta
fai conto che sto qua ha la mi band per lui e per il cane che neanche connette al telefono e la usa per indicare quando entra in casa
tutto gestito tipo da un tablet android con tasker e le automazioni eseguite tramite le notifiche dei servizi, gira con i sonoff col software base e le yicam

un folle

poi gli dici che la vera domotica è knx o che al massimo può farsi hass e dice che è roba obsolta...

sagitt

non puoi farti una vpn?

Ikaro

Basta usare la stessa pw di un blog che registra le pw in chiaro e magari non ha neanche l'https, ce ne sono a migliaia ancora nel mondo, non credo che nest, una società facente parte del gruppo Google, gestisca le pw nel modo da te descritto...

Aster

Siamo d'accordo ma io dico perché non farlo funzionare in locale se a me non serve il remoto?

Aster

Tutto molto bello ma perché escludere la rete locale per quelli che non hanno bisogno

i mac non hnno virus cit

VPN di chi?

DonatoMonty81

Ma a lui non interessa se i cinesi lo spiano

antonio
ADM90

Per me bigosna portarla a tre fattori. 1. tramite sms (codice) + cifra di 3 numeri da mettere alla fine (che sono solo io), due mia password, 3. Touch ID e Face ID o sistemi biometrici

Ikaro
sagitt

Vpn, ed in ogni caso il tuo server è meno sotto i riflettori

antonello

E da verificare, anche se si inserisce una psw facile la criptazione deve essere sicura, se hai un sistema con qualche falla....tutto da vedere...

Ikaro

In che senso scusa? Se rendi il tuo server accessibile da remoto e poi gli piazzi una password di m3rd@ ti succede la stessa cosa...

sopaug

perchè spiegare il port forwarding all'utente medio è complicatuccio, e perchè comunque gli ipv4 non sono infiniti (finchè non passeremo a ipv6, nel mese del forse dell'anno del mai...), e perchè l'elaborazione degli assistenti vocali avviene in cloud :)

sopaug

come in tutte le cose "est modus in rebus"... Accendere e spegnere le luci e cambiare canzoni su spotify? Comodo, pratico e inoffensivo. Affidare antifurto e telecamere al cloud? Neanche morto.

Alexv

E invece gli piace molto!

Alexv

Molti vogliono comandare il sistema quando non sono in casa o vedere se è tutto a posto. Altrimenti si farebbero bastare il termostato a manopola.

Alexv

Nerd e spendaccione sono due cose differenti.

sagitt

Dov’è “federico”? Il magnate dei sistemi domotici supersonici con trigger dalle notifiche e server cinesi?

Tony

https://uploads.disquscdn.c...

Tony

occhio con il mac perche adesso c'è ne uno che ruba tutte le password e le credenziali carta di credito compresa

https://uploads.disquscdn.c...

Maurizio Mugelli

ma l'avvocato gli ha promesso che sono soldi facili ovviamente - per lui si intende.

Laevus

Presente! Anche se ammetto che, quando gli assistenti diventeranno assistenti per davvero (ovvero in grado di capire e di rispondere proattivamente), potrei anche farci un pensiero.

Alien

Critichi la recensione per delle mancanze e ti rimuovono il commento. Vi meritate adblock

FreeEnd

L'autenticazione a 2 fattori è il minimo quando si parla di queste cose.
Nest dovrebbe obbligare questa cosa però

Samsung

Recensione Samsung Galaxy Tab S5e: ottimo per svago e produttività

Kia

Kia e-Soul: prova su strada e prezzi in Italia, la nuova sarà solo elettrica | Video

Samsung

Samsung Galaxy Fold: il software convince, la "piega" è da provare!

Oppo

24h con Oppo Reno: pop-up camera e tanto carattere | Video