Asus, l’app per gestire il router espone i dati degli utenti

vpnMentor ha scoperto una vulnerabilità su AsusWRT, app che permette anche di collegarsi a dispositivi connessi Amazon Alexa

L’app per la gestione dei router a marchio Asus è stata oggetto di profonda analisi da parte dei ricercatori di sicurezza di vpnMentor. Gli stessi, hanno spiegato che gli utenti che hanno usato l’applicazione, e che hanno connesso i loro dispositivi Amazon Alexa, sono state possibili vittime sia dei dati riguardanti il Wi-Fi che quelli dell’assistente vocale. Nello specifico, AsusWRT consente alle persone di creare una rete privata all’interno del proprio network domestico, offrendo un’interfaccia grafica semplice.

Il software si collega pure dispositivi abilitati per Amazon Alexa. La vulnerabilità si riferisce a un database non protetto e non crittografato, che mostrano indirizzi IP, nomi utente, nomi dei dispositivi e posizione, e altri elementi che, se nelle mani di smanettoni e tecnici, permettono incroci pericolosi con ciò che è pubblicamente accessibile.

Come fare

Hackerando l’interfaccia di AsusWRT, i ricercatori hanno ottenuto l’accesso alla rete di un utente e ai dispositivi ad essa collegati. La perdita di dati ha anche rivelato i registri vocali di Alexa, che potrebbero dare agli hacker un’idea di come le persone stanno usando l’assistente virtuale e persino personalizzare gli attacchi in base a tali comportamenti. Potremmo tradurlo con “spear phishing”, di cui conosciamo già l’estrema pericolosità. “Gli hacker possono utilizzare i dispositivi manipolati per tenere traccia delle abitudini degli utenti a casa, accorgersi di quanto non c’è nessuno e dunque pianificare rapine, con un rischio minimo. Se l’utente target di AsusWRT ha dispositivi di blocco intelligenti, terzi hanno l’opportunità di accedervi per aprire le porte tramite i device compromessi”.

Si tratta di un panorama estremo ma possibile. Asus dovrebbe aver chiuso la falla ma la questione evidenzia ancora una volta il modo in cui anche le aziende tecnologicamente avanzate sembrano avere problemi di sicurezza piuttosto gravi, con una mancanza di implementazione che rende i clienti vulnerabili ai criminali informatici.

Leggi anche:  I laureati anche con master che in Italia non vuole nessuno