UNA TASTIERA CI ROVINERA’ - UN’EQUIPE DI RICERCATORI SCOPRE LA INCREDIBILE VULNERABILITA’ DELLE TASTIERE WIRELESS: SI PUO’ INTERCETTARE (DA UNA DISTANZA ANCHE DI 80 METRI) IL SEGNALE E “LEGGERE” I TASTI DIGITATI, COMPRESE PASSWORD E NUMERI DI CARTE DI CREDITO
Sandro Iannaccone per “Repubblica.it”
Che comodità, la tecnologia wireless. Una manna dal cielo che permette di usare, tra le altre cose, tastiere, mouse, gamepad e altri dispositivi elettronici evitando fastidiosi grovigli di cavi e ingombri di fili tra i piedi.
Una liberazione dai cordoni ombelicali elettronici che però potrebbe costare cara in termini di privacy: un'équipe di ricercatori di Bastille, azienda specializzata in cybersicurezza, ha infatti appena scoperto una nuova vulnerabilità relativa alle tastiere senza fili, sfruttando la quale è possibile spiare le sequenze di caratteri digitate e venire così in possesso di dati sensibili come password e numeri di carte di credito.
La tecnica è stata battezzata Keysniffer e, stando all'analisi dei ricercatori, colpisce i dispositivi prodotti da ben otto (Anker, EagleTec, General Electric, Hewlett-Packard, Insignia, Kensington, Radio Shack e Toshiba) delle dodici aziende testate.
La vulnerabilità delle tastiere, spiega Ivan O'Sullivan, capo della ricerca di Bastille, deriva dal fatto che molte di esse trasmettono al computer la sequenza dei tasti premuti senza proteggerla con alcuna cifratura. "È uno scenario assolutamente sorprendente", ha detto lo scienziato. "Non ci saremmo mai aspettati che nel 2016 queste aziende vendessero tastiere prive di protezioni".
Sostanzialmente, gli scienziati hanno osservato che tali dispositivi, anziché connettersi al computer tramite Bluetooth, lo standard attualmente ritenuto più sicuro per comunicazioni di questo tipo, usano alternative più economiche ma molto meno affidabili. Il sistema funziona in questo modo: quando si preme un tasto, la tastiera invia un segnale a un piccolo ricevitore usb collegato al computer: i ricercatori di Bastille hanno seguito un approccio di ingegneria inversa ("reverse engineering"), analizzando tali ricevitori usb per "risalire" all'inverso il percorso compiuto dai segnali e capire come questi venissero inviati e decodificati.
Ma le vulnerabilità sono apparse subito evidenti: "Pensavamo che lo studio dei ricevitori", racconta Mark Newlin, uno degli scienziati di Bastille, "fosse solo il primo passo nella nostra analisi. Ma ci siamo resi conto che le sequenze di tasti premuti venivano inviate e ricevute in chiaro, senza alcun tipo di cifratura".
Individuato l'anello debole, è stato semplicissimo spezzare la catena: Newlin, servendosi di un semplice transponder radio normalmente utilizzato per controllare a distanza i droni - prezzo di vendita al pubblico: circa 70 euro - è riuscito a intercettare le sequenze di pulsanti premuti sulla tastiera da una distanza di circa 80 metri.
Ma c'è di più: i ricercatori hanno mostrato che è anche possibile "ingannare" il trasmettitore, inviando falsi segnali che corrispondono a sequenze di tasti mai digitate. Al momento, le aziende produttrici delle tastiere incriminate dicono di essere al corrente della vulnerabilità e di essere già al lavoro per risolverla. Gli esperti di Bastille sono meno possibilisti: l'unico modo per proteggere la propria privacy è utilizzare tastiere Bluetooth. Oppure tornare ai vecchi dispositivi cablati. Scomodi, ma sicuri.
