Dispositivi smart più pericolosi per la privacy: Mozilla ne pubblica l'elenco

Ci sono prodotti sul mercato che non soddisfano i requisiti minimi in fatto di sicurezza e tutela della privacy degli utenti. Lo abbiamo spesso ricordato e di recente abbiamo presentato il caso di alcune videocamere e dispositivi a basso costo come pet e baby monitor (amministrabili anche via cloud) che possono essere facilmente controllati da malintenzionati e criminali informatici: Videocamere IP e dispositivi cloud a basso costo diventano spie per ficcanaso e malintenzionati.

Negli articoli Come rendere la rete sicura sia in azienda che a casa e Accedere a PC remoto, al router, a una videocamera o un dispositivo in rete locale abbiamo esaminato le problematiche connesse all’utilizzo di dispositivi IoT e device smart realizzati da produttori poco conosciuti e non completamente affidabili.
Nei casi più gravi, infatti, a seguito della presenza di vulnerabilità, tali dispositivi potrebbero essere usati come “testa di ponte” per attaccare i sistemi collegati alla rete locali, per sottrarre informazioni riservati e per installare applicazioni malevole.

Per evitare di correre rischi, bisognerebbe disattivare sempre il supporto UPnP sul router, evitare di aprire porte in ingresso, installare eventualmente un server VPN per collegarsi alla rete locale da remoto, isolare i prodotti smart dal resto della rete e possibilmente scegliere sempre oggetti che offrono garanzie in termini di affidabilità e sicurezza.

Con il Natale sempre più vicino e a pochi giorni dal Black Friday, in molti stanno pensando ai regali per sé e per gli altri in vista delle prossime festività.
Mozilla ha pubblicato un suo studio chiamato Privacy not included in cui la fondazione fa le pulci ad alcuni dispositivi smart disponibili sul mercato.

Per ciascuno di essi Mozilla ha espresso un giudizio complessivo (OK o pollice verso) esaminando le caratteristiche di ciascun dispositivo per ciò che riguarda la tutela della privacy (il disclaimer sulla privacy è comprensibile o meno, viene usata la crittografia per scambiare i dati, almeno una parte dei dati viene condiviso con terze parti), il livello di controllo appannaggio dell’utente (obbligo di modificare le password, distribuzione e applicazione automatica degli aggiornamenti di sicurezza, cancellazione dei dati che rendono identificabile l’utente, presenza di funzionalità per il controllo parentale) e le politiche di gestione delle vulnerabilità da parte del produttore.

Collegandosi con la pagina di Mozilla “Privacy not included” è possibile esaminare tutte le valutazioni attribuite ai vari prodotti da parte della fondazione.
Se lo si desidera, è possibile dare il proprio contributo esprimendo giudizi e usando il classico sistema di commento like/dislike.

Per un verso o per l’altro Mozilla ha bocciato anche prodotti piuttosto noti: in alcuni casi i problemi rilevati sono minori (policy sulla privacy poco comprensibile) mentre in altri come per il FREDI Baby Monitor vengono poste in evidenza lacune decisamente più rilevanti come la mancata cifratura dei dati e l’assenza di aggiornamenti di sicurezza a fronte di vulnerabilità conclamate.
Guarda caso, il baby monitor bocciato senza appello è proprio quello di cui avevamo parlato a fine giugno scorso nell’articolo Videocamere IP e dispositivi cloud a basso costo diventano spie per ficcanaso e malintenzionati.