Sul Play Store di Google esiste un’applicazione, Validator, che i fornitori devono utilizzare per far sì che i loro prodotti siano certificati per l’utilizzo di Fast pair. Nella descrizione di Validator, si legge che l’app “attesta che Fast pair è stato implementato correttamente su un dispositivo bluetooth“, producendo un rapporto che indica se il dispositivo ha superato o meno la valutazione. I ricercatori sostengono che tutti i dispositivi testati avevano ottenuto la certificazione per Fast pair da Google. Questo significa che, presumibilmente, l’applicazione di Google li ha classificati come conformi anche se le implementazioni presentavano difetti pericolosi. I dispositivi Fast Pass omologati inoltre vengono sottoposti a test in laboratori selezionati da Google, che esaminano i rapporti e valutano dispositivi fisici scelti a campione prima che vengano prodotti su larga scala, per confermare la conformità a Fast pair.
Google dichiara che le specifiche di Fast pair indicano requisiti chiari e che l’app Validator è stata progettata principalmente come strumento di supporto per i produttori. In seguito alle scoperta dei ricercatori della KU Leuven, l’azienda afferma di aver aggiunto nuovi test di implementazione.
Secondo il team dell’università, è difficile stabilire se i problemi di implementazione che hanno dato origine alle vulnerabilità siano dovuti a errori dei produttori di dispositivi o dei chipmaker.
Wired ha contattato tutti i produttori di chip utilizzati dagli accessori audio coinvolti – Actions, Airoha, Bestechnic, MediaTek, Qualcomm e Realtek –, senza però ricevere risposta. Nella dichiarazione rilasciata a Wired, Xiaomi ha dichiarato: “Abbiamo confermato internamente che il problema da voi segnalato è stato causato da una configurazione non standard dei fornitori di chip in relazione al protocollo Fast pair di Google“. Il chip utilizzato nel Redmi Buds 5 Pro che i ricercatori hanno identificato come vulnerabile è prodotto da Airoha.
Comodità sì, ma non a tutti i costi
A prescindere dalle responsabilità, secondo i ricercatori basterebbe una modifica concettualmente semplice alle specifiche di Fast pair risolvere il problema alla base di WhisperPair: il protocollo dovrebbe utilizzare la crittografia per eseguire gli accoppiamenti effettivamente decisi dal proprietario dell’accessorio, impedendo ai malintenzionati di collegari senza autenticazione.
Per il momento, Google e diversi altri produttori dispongono di aggiornamenti software pronti a risolvere specifiche vulnerabilità. Ma è probabile che l’installazione di queste patch avvenga in modo discontinuo, come quasi sempre accade quando si parla di sicurezza Iot. I ricercatori invitano gli utenti ad aggiornare gli accessori vulnerabili, consultando il sito in cui hanno elencato i dispositivi coinvolti. Aggiungono che il caso dovrebbe valare come promemoria per aggiornare sempre i gadget Iot.
Più in generale, la ricerca evidenza la necessità di concentrarsi sulla sicurezza quando si aggiungono funzioni di facile utilizzo all’interno dei dispositivi. In fondo non era il protocollo bluetooth a contenere le vulnerabilità scoperte dai ricercatori, bensì quello costruito da Google per rendere più agevole l’accoppiamento.
“Sì, vogliamo semplificarci la vita e far funzionare i nostri dispositivi in modo più fluido“, afferma Antonijević. “La comodità non significa immediatamente meno sicurezza. Ma nel ricercare la comodità, non dobbiamo trascurare la sicurezza“.
Questo articolo è apparso originariamente su Wired US.
