Hacker controlla un tosaerba robot e minaccia un giornalista: il pericolo delle vulnerabilità IoT

Un esperimento di sicurezza informatica ha evidenziato i rischi nascosti nei dispositivi IoT domestici, in particolare nei tosaerba robot autonomi. Andreas Makris, un white hat hacker tedesco, ha dimostrato come sia possibile prendere il controllo di un Yarbo, un modello di tosaerba robotizzato, e utilizzarlo per minacciare l'incolumità delle persone.

Sean Hollister, giornalista di The Verge, ha vissuto in prima persona l'esperienza quando Makris ha preso il controllo del dispositivo mentre lui si trovava sdraiato a terra. «Mi trovo sdraiato nella polvere. Sta venendo verso di me. Con uno scossone, sale sul mio petto», ha scritto Hollister nel suo articolo. «Se Andreas Makris non ferma in tempo il tosaerba da 90 kg, potrebbe trascinare le sue lame sul mio corpo». Fortunatamente, l'intervento tempestivo del ricercatore ha evitato conseguenze gravi.

Makris ha sottolineato che la vulnerabilità non riguarda un singolo dispositivo, ma tutti i tosaerba Yarbo, poiché condividono la stessa password di root. In teoria, un black hat hacker potrebbe sfruttare questa falla per controllare migliaia di dispositivi in tutto il mondo. Makris ha persino realizzato una mappa che mostra la posizione di oltre 11.000 Yarbo attivi, creando una sorta di panopticon globale di tosaerba intelligenti.

Le possibili conseguenze di un simile attacco vanno ben oltre il semplice sabotaggio: potrebbero spaziare da atti di vandalismo contro vicini sgraditi fino a forme più gravi di violenza o spionaggio. Makris ha anche scoperto che, oltre al controllo remoto, era possibile accedere alle email dei proprietari, alle password del Wi-Fi e alle coordinate GPS delle loro abitazioni.

La situazione è ancora più preoccupante perché Yarbo sembra aver implementato una backdoor intenzionale nei propri dispositivi. «Viene distribuita automaticamente su ogni robot, non può essere disabilitata dal proprietario e viene ripristinata se rimossa», ha dichiarato Makris a The Verge. Nonostante le segnalazioni del ricercatore, l'azienda ha continuato a sostenere che i suoi dispositivi sono «completamente sicuri e sotto il controllo esclusivo del proprietario».

Questo episodio solleva interrogativi critici sulla sicurezza dei dispositivi IoT connessi a internet. Makris ha pubblicato i risultati della sua ricerca dopo che Yarbo ha ignorato le sue segnalazioni, costringendo il giornalista a mettere in scena un esperimento per dimostrare i rischi reali. «Mentre il peso di metallo, plastica e un computer troppo vulnerabile mi schiaccia al suolo, realizzo che questo esperimento non è affatto sicuro come pensavo», ha scritto Hollister.