“Hackerati aspirapolvere robot in diverse città degli Stati Uniti”. Non è il titolo di un libro di fantascienza ma quello di un articolo della Abc che ha fatto luce su un problema che, per quanto bizzarro, ha contorni assolutamente reali. I robot interessati erano tutti Ecovacs Deebot X2 di fabbricazione cinese. E un avvocato del Minnesota, Daniel Swenson, ha raccontato che stava guardando la tv sul divano di casa quando il suo robot aspirapolvere ha iniziato a funzionare male. “Emetteva un suono che sembrava un segnale radio interrotto o qualcosa di simile”, ha detto. Scoprendo poi che, tramite l’app Ecovacs, qualcuno stava anche spiando ciò che succedeva all’interno della sua abitazione. Dunque, la possibilità che criminali informatici riescano a controllare i dispositivi domestici connessi ad internet non è fantascienza. E, più di recente, pare esser diventata una minaccia sempre più concreta, che ha interessato anche i baby monitor o i frigoriferi. Proprio per questo Consiglio e Parlamento europei hanno approvato, nei giorni scorsi, il cosiddetto “Cyber Resilience Act”, ovvero un insieme di regole che impongono misure di sicurezza digitale sui prodotti venduti all’interno dell’Ue. E i prodotti che non le rispettano non possono essere venduti.
Il “Cyber Resilience Act”
Il “Cyber Resilience Act” era stato annunciato a settembre 2021 dalla presidente della Commissione Europea, Ursula von der Leyen. Un anno dopo la Commissione ha sottoposto la proposta per la nuova legge di completamento della struttura regolatoria europea esistente in materia. Dopo i negoziati tra le istituzioni europee, a novembre 2023 è stato raggiunto un accordo provvisorio. Adesso la legge è stata approvata, anche se entrerà in vigore in maniera effettiva nei prossimi mesi, e regolamenterà i requisiti di cybersecurity dei prodotti con elementi digitali nell’ottica di assicurare che gli stessi, tra cui videocamere, elettrodomestici, tv e giocattoli connessi alla rete siano sicuri prima che vengano venduti ai consumatori.
Come difendersi
Ecovacs, azienda tecnologica cinese, aveva in passato ammesso una falla nel connettore bluetooth di alcuni suoi prodotti, che consentiva l’accesso completo all’Ecovacs X2 da oltre 100 metri di distanza. Confermando anche che alcuni account di accesso ai robot erano stati hackerati. E circa quattro anni fa era emerso il caso dell’iRobot Roomba J7 che, una volta violato a distanza, aveva permesso di diffondere su internet le immagini di una donna mentre era sul water di casa propria. E, come racconta anche “Il Sole 24 Ore” sono emersi negli anni episodi di intrusione anche attraverso i baby monitor o i frigoriferi di ultima generazione. Secondo gli esperti attacchi simili sono possibili fondamentalmente a causa di password deboli o predefinite, oltre alla mancanza di aggiornamenti di sicurezza regolari sui dispositivi acquistati. Ma grazie al “Cyber Resilience Act, ora i produttori saranno obbligati a rimuovere le password predefinite, spesso facilmente hackerabili, e a garantire aggiornamenti software continui per correggere eventuali falle nella sicurezza. In attesa che la legga diventi effettivamente realtà, meglio ricordarsi sempre di aggiornare costantemente le password predefinite sui dispositivi magari utilizzando lunghe sequenze di parole, numeri e simboli, controllando che firmware e software dei prodotti siano sempre aggiornati. Meglio sempre disattivare le funzioni legate a fotocamere e microfoni e non condividere mai informazioni sensibili non necessarie. Potenziare la sicurezza del wi-fi di casa si può, grazie alla crittografia WPA3, oltre che cambiando la spesso la password del router e disabilitando le funzioni di accesso remoto che non sono necessarie.
approfondimento
L’hacker siciliano che entrava nei server del ministero: è spy story?