Smartlocking: trick or treat?
Il passo definitivo (forse) verso la digitalizzazione della nostra vita domestica
di Simone Napoli
Se Mark Zuckerberg ha più volte ribadito che la sua casa può serenamente definirsi come casa analogica1, ha forse senso porsi qualche interrogativo.
Uno dei padri delle più diffuse diavolerie digitali e una delle figure più iconiche della digitalizzazione sceglie di non digitalizzarsi. Un paradosso. O forse l’esatto contrario: proprio chi ben conosce le potenzialità di uno strumento riesce a rimanere lucido (almeno rispetto alla propria vita!), continuando a considerarlo tale: un mero “mezzo”, privo di una vocazione propria, ma in grado di portare beneficio o danno in base alle intenzioni di chi ne abbia la disponibilità.
Talvolta è proprio la lucidità che sembra mancare anche a molti appassionati, quando si confrontano con la tecnologia, ammaliati (legittimamente) dal potenziale positivo di un dispositivo, ma talvolta privi di spirito critico nel considerare quale sia il prezzo di una maggiore comodità.
La soglia dell’attenzione meriterebbe forse di crescere quanto meno rispetto a devices e dispositivi legati alle sfere più intime della persona, come la salute, la vita lavorativa e quella domestica.
Proprio quest’ultima è diventata progressivamente, da almeno un decennio ad oggi, un vero ricettacolo di strumenti digitali, con cui in molti hanno puntellato le loro abitazioni, costruendo case domotiche o smart. Partiamo però con una precisazione: i termini smart e domotica sono spesso utilizzati come fossero intercambiabili, ma non è realmente così. Una casa domotica può essere definita come l’abitazione in cui i dispositivi domestici sono fisicamente collegati ad un’unica centralina, tramite cablaggi dedicati; in una casa smart, invece, gli oggetti sono interconessi via wifi e necessitano di una connessione internet e di un gateway che faccia da ponte tra questi ed il nostro smartphone. In quest’ultimo caso, quindi, all’infrastruttura fisica si sostituisce un’infrastruttura digitale2.
Entrambi i modelli sono ormai largamente inseguiti, sia dagli appassionati del mondo tech, che vedono in questo ambito un nuovo eldorado, sia da chi si affaccia alla materia da neofita, ma sull’onda di una nascente passione per l’Internet of Things. Il desiderio di una domotizzazione delle nostre case è avvertito a tal punto che sempre più strumenti vengono collegati alla rete wifi: non solo dispositivi con finalità ludica o ricreativa, ma anche i più banali elettrodomestici.
Così facendo, l’intera quotidianità di molti è ormai strettamente dipendente da una valida connessione wifi, che consenta i più semplici gesti quotidiani, dalla preparazione della colazione, fino all’organizzazione degli impegni professionali: forse per questo, persino in alcuni programmi elettorali presentati nelle scorse settimane, figurava la prospettiva di un diritto costituzionale alla connessione wifi.
Al di là delle suggestioni politiche, è utile qui sottolineare come la tecnologia domestica sia ormai estremamente pervasiva, benché foriera, insieme a indubbi vantaggi e comodità, di rischi non trascurabili.
Fra gli strumenti di maggior diffusione nelle nostre case, conosciamo i sistemi di illuminazione attivabili con un semplice battito di mani o assistenti digitali che, attivati da un comando vocale, fugano dubbi culturali o propongono il palinsesto televisivo della serata; ma, da qualche tempo, si sta registrando un nuovo passo avanti nel graduale ingresso della tecnologia nelle nostre case – o appena fuori, a ben vedere -: lo smartlocking.
Siamo abituati a sentire parlare di smartlocking solo con riferimento alle modalità di accesso ai nostri devices: la lettura dell’impronta digitale, dell’iride, o il tracciamento di una linea spezzata che unisce alcuni puntini sullo schermo. In realtà, l’accezione di “smartlocking” a cui ci dedicheremo è qualcosa di diverso: si tratta di una tecnologia di apertura/chiusura delle porte d’ingresso delle nostre case, ideata e commercializzata – tra le altre – da una società austriaca, partner di grandi colossi di vacation rental.
Il suo funzionamento è molto semplice: un cilindro di pochi centimetri viene installato sulla serratura della porta di casa; la sua struttura avvolge la chiave (fisica) d’ingresso e, ricevuto il segnale da uno smartphone, collegato via bluetooth direttamente ad esso, o da remoto al wifi domestico, ruota la chiave per provvedere all’apertura e alla chiusura della porta.
Il funzionamento dell’app è altrettanto intuitivo, e molte sono le funzionalità a disposizione dell’utente: lo smartlocker viene spesso utilizzato da chi affitta casa sulle piattaforme di hosting, per consentire l’avvicendamento di inquilini nel suo appartamento, attivando e disattivando i loro profili di accesso senza dover accogliere i nuovi ospiti o congedare i precedenti; è poi molto utile per consentire l’apertura da remoto di cancelli e portoni d’ingresso, quando, ad es., un corriere passa per la consegna ad un orario imprevisto e occorra permettergli l’accesso all’androne del nostro palazzo per depositare la spedizione.
In alcuni casi è persino disponibile la modalità di auto-unlock, che ci permette di aprire casa solo avvicinandoci alla porta d’ingresso, senza dovere utilizzare le chiavi fisiche e persino senza impugnare la maniglia: un’idea senza dubbio funzionale, quando abbiamo le mani impegnate da un pacco voluminoso o dalle buste della spesa.
Anche i rischi, però, paiono non irrilevanti: a ben vedere, ogni profilo di utilizzo dello smartlocker è interessato da una potenziale vulnerabilità. In primis, può essere oggetto d’attacco la rete wifi, che permette la comunicazione tra smartlocker e smartphone connesso da remoto, e che potrebbe costituire il vettore di un’offensiva hacker. Gravissime le possibile conseguenze: dalla possibilità di aprire la porta d’ingresso, a quella di sequestrare all’interno di un appartamento il suo stesso proprietario.
Un altro possibile vettore d’attacco potrebbe essere un eventuale assistente digitale integrato con lo smartlocker (altra funzionalità già live) e sfruttato dall’offender come punto d’accesso diretto per muovere, sulla rete, verso lo smartlocker, che dell’attacco costituisce il vero obiettivo.
Persino la connessione bluetooth non si pone al riparo da eventuali attacchi3, ad esempio di chi volesse carpire i dati attraverso il c.d. bluejacking, che sfrutta l’invio di messaggi (noti come “biglietti da visita” o vCard in formato .vcf) a dispositivi presenti nel raggio di 100 metri (la classe di alcuni trasmettitori raggiunge questa portata); o il bluebugging, che sfrutta un bug BT molto diffuso benché noto a molti provider, per dare all’offender il controllo del dispositivo; o il bluesmacking che, similmente al c.d. ”Ping of Death”, consiste nell’invio di un pacchetto IP malformato per causare buffer overflow e, per l’effetto, l’interruzione del servizio; o infine il bluesnarfing, che consente l’accesso al terminale Bluetooth e la copia di dati dal dispositivo, persino laddove il suo BT sia spento o sia impostata la modalità “non visibile agli altri devices”.
Vero che gli sviluppatori assicurano l’adozione dei più elevati standard di cifratura, negli ultimi modelli fondata sul meccanismo NaCI (Networking e libreria di crittografia)4, ovvero su combinazioni uniche e univoche di numeri e lettere, che compongono una chiave nota solo ai dispositivi mittente e ricevente; ma, considerata la preparazione degli offender e l’agevole reperibilità dei tool d’attacco, neanche questa cautela pare essere davvero una garanzia d’impenetrabilità.
Attraverso le molteplici tecniche di attacco, e l’intromissione di un offensore nell’account admin della nostra app, le nostre chiavi di casa risulterebbero letteralmente nelle mani di un terzo.
Vale la pena di chiedersi se si tratti di rischi che siamo davvero disposti a correre, solo per rendere più comodi dei gesti in fondo così semplici. Trick or treat?
1 https://www.corriere.it/esteri/19_dicembre_05/casa-zuckerberg-facebook-f3bfa416-172a-11ea-bf9a-c712ae60e3d8.shtml