Secondo quanto riportato da "The Register", una grave #vulnerabilità di #sicurezza colpisce le serrature intelligenti gestite dal software di #Chirp Systems, permettendo a estranei di sbloccarle da remoto. Questa criticità si manifesta a causa delle password e delle chiavi private incorporate staticamente nell'app Android di Chirp. Chiunque sia a conoscenza o scopra queste credenziali può utilizzarle per interfacciarsi con un'API del fornitore di serrature intelligenti #August, consentendo l'apertura remota delle serrature alimentate da Chirp.

La gravità della situazione è evidenziata dal fatto che il sistema di Chirp è attualmente utilizzato in oltre 50.000 abitazioni. Le implicazioni di questa #vulnerabilità sono particolarmente serie in quanto permettono l'accesso fisico illimitato agli ambienti protetti da queste serrature. Inoltre, la #vulnerabilità in questione è stata classificata con un punteggio di gravità CVSS di 9.1 su 10, un valore estremamente elevato che sottolinea il rischio significativo per la #sicurezza degli utenti.

La scoperta di questa falla risale a tre anni fa, ad opera di Matt Brown, un ingegnere senior di Amazon Web Services. Brown ha indagato l'app di Chirp dopo che il suo edificio residenziale ha adottato tali serrature nel marzo 2021. La sua analisi ha rivelato che l'app Android di Chirp conteneva credenziali di #sicurezza salvate in modo non protetto all'interno del codice sorgente, una pratica che espone a rischi elevati l'integrità del sistema.

Nonostante l'avvertimento dell'Agenzia per la #Sicurezza delle Infrastrutture e della #Cybersecurity degli Stati Uniti (CISA), che ha anche emesso un alert riguardo a questa situazione, Chirp non ha risposto alle richieste di intervento per mitigare la problematica. Tuttavia, a seguito dell'alert di CISA, Chirp ha aggiornato l'app Android introducendo "correzioni di bug e miglioramenti alla stabilità", il che potrebbe indicare che la #vulnerabilità è stata risolta, sebbene non vi sia conferma ufficiale.

Oltre a questa falla, l'articolo di "The Register" mette in luce altre problematiche legate alla #sicurezza delle serrature intelligenti. Ad esempio, anche se Chirp offre una chiave basata su NFC come alternativa all'app, questa soluzione non è esente da rischi. Infatti, il chip NFC trasmette le credenziali in testo chiaro, rendendo altrettanto semplice compromettere la #sicurezza delle serrature.

La gestione della crisi da parte di Chirp e la sua capacità di rispondere in modo efficace alle sfide di #sicurezza vengono ulteriormente complicate dal fatto che l'azienda è ora parte di una società di private equity, Thoma Bravo, a seguito dell'acquisizione di RealPage nel 2020. Questa struttura proprietaria potrebbe influenzare la rapidità e l'efficacia delle risposte alle questioni di #sicurezza.

Tweet