È iniziata la primavera e si riapre la stagione dei viaggi, ma come si è adeguato il settore alla cyber security?

Sono da breve rientrato da un viaggio e la mia esperienza non mi ha lasciato un buon feeling.

Hotel e compagnie aeree sono due degli attori con cui si confronta il viaggiatore moderno, ma dietro a canapè e velluto, i nostri dati sono gestiti correttamente?

Già in passato abbiamo analizzato attacchi informatici diretti a sistemi di pagamento e di prenotazione di compagnie aeree (Cathay Pacific e British Airways) e catene alberghiere (Marriott, Radisson). L’elenco non è esaustivo, sono solo alcuni casi di cui abbiamo effettuato un’analisi: in questo articolo affronteremo, quindi, un’esperienza diretta, che va aldilà dell’esperienza della prenotazione e pagamento online e dalla quale estrarremo fatti non troppo rassicuranti dall’esperienza “in viaggio”.

La sicurezza dei dati ai check-in

Per gli attacchi sopra citati le compagnie aeree avevano ammesso i data breach nei sistemi e avevano intrapreso azioni di remediation tra cui offrire un anno di monitoraggio dei dati personali attraverso un noto servizio internazionale in grado di rilevare attività sospette di tentativi di uso di dati personali, un sistema fondamentale alla prevenzione del furto d’identità, materia assai sottovalutata e poco protetta.

Ricordiamo che ci sono alcuni tentativi di soluzioni commerciali che, combinando software di protezione dati personali e assicurazioni, vorrebbero trasmettere un senso di sicurezza al cliente, ma siamo lontani da una soluzione di prevenzione e gestione del furto d’identità con la solidità che sarebbe desiderabile o adeguata.

La mia esperienza di gestione dubbia della sicurezza “in viaggio” inizia al check-in di una grande catena di alberghi (che non citerò perché sono alla ricerca di un dialogo per capire se si sono posti il problema) quando mi viene comunicato che il mio accesso alla camera avverrà unicamente tramite app e la chiave che mi viene consegnata serve solo per mantenere attiva l’alimentazione elettrica della stanza; per entrare quindi nella stanza e facilities dovrò avere il mio smartphone sempre carico e con bluetooth sempre attivo, mentre l’app non mi sembra particolarmente avanzata e non ha autenticazione biometrica.

In pratica, ma scoprirò che non sarà esattamente così, l’albergo, per essere un ospite moderno, mi chiede di: portarmi obbligatoriamente appresso lo smartphone e che sia sempre carico (non si usa il protocollo chiavi elettroniche ma una app custom) e con Bluetooth attivo.

A contraddire la sensazione di sicurezza troviamo accesso agli ascensori senza chiavi: hai fatto questo sforzo domotico per aprire le porte, ma l’accesso al piano è senza controllo?

Tecnicamente sembrerebbe di essere di fronte a un sistema BLE (bluetooth a bassa emissione) che a differenza del PK BLE (Perfectly Keyless BLE) funziona solo tramite app e con smartphone carico; il pk ble, invece, funziona anche quando il telefonino è scarico perché è una soluzione veramente a basso consumo.

Mentre mi costringi a portarmi dietro il telefonino carico, scopro che poi la classica chiave programmabile apre anche le porte, quindi abbiamo semplicemente un doppione, però costringi tutti i clienti a scaricare questa app.

Le vulnerabilità nelle serrature elettroniche degli hotel

È di questi giorni la scoperta della vulnerabilità UNSAFLOK, che ha come target le serrature SAFLOK, in uso in tre milioni di stanze di hotel, che utilizzano un protocollo RFID per l’apertura e, utilizzando una chiave, anche scaduta, si può generare una chiave master che apre tutte le stanze della struttura: per perpetrare l’attacco basta un telefono Android con NFC oppure un dispositivo Flipper Zero.

Sebbene questo, dell’uso delle app per aprire le stanze di hotel, operativamente non apra ulteriori vulnerabilità a un sistema già abbastanza fragile, spostare una copia della chiave sullo smartphone del cliente allarga certamente la superficie d’attacco possibile, per cui se il telefono del cliente vittima è già compromesso, andando in vacanza non potrà certo stare tranquillo.

Le criticità dei dispositivi connessi

Una volta entrato nella stanza mi ritrovo di fronte uno smart TV che, però, non sembra essere stato programmato in modalità Hotel (una modalità che limita l’accesso a certe funzioni avanzate), ma ci sono numerose app a disposizione di diverse piattaforme di contenuti: una possibilità di utilizzare “come a casa” i servizi che abbiamo già pagato, quindi interessante, senonché aspetto a effettuare l’accesso con le mie credenziali.

A fine soggiorno, se mi dimenticassi di effettuare il logout, il TV, che è oggi un computer, sarà resettato e riportato ad uno stato di default? Tutta l’eventuale cache e le mie credenziali e cronologia saranno cancellate? non lo so e il fatto che non si utilizzi la modalità Hotel non mi convince.

L’esperienza si conclude con un terzo fatto: continuo a ricevere richieste, presumibilmente via bluetooth o LAN, di lasciare il controllo del TV ad una app del TV stesso (quelle che si scaricano sullo smartphone): alla prima richiesta rifiuto, penso, che richiesta bizzarra. Ma le richieste continuano, giorno e notte, allora penso no, non è un caso.

Irritato e incuriosito inizio a navigare nei menu del TV (non protetti) e mi imbatto sul menu “consenti richieste di connessione tramite app” (perdonate se la dicitura non è quella esatta, ma la funzione era quella), non ricordo se il settaggio di default fosse disabilitato, la lingua del TV non era italiano o inglese ma una meno conosciuta. Credendo di avere disabilitato la funzione, salvo e chiudo il menu.

Le richieste di connessioni si ripetono per tutto il soggiorno, cambio la lingua del TV per verificare se effettivamente avessi disabilitato la funzione e constato che la funzione è disabilitata ma ciò non impedisce un fastidioso sciame di richieste. Cerco altre possibili impostazioni da disabilitare e, ahimè non trovo nulla. Alla fine, ho spento il TV per il resto del soggiorno.

Ho quindi cercato di spiegare l’accaduto all’hotel e ho chiesto spiegazioni riguardo all’uso delle serrature intelligenti: ad oggi, né la struttura né la catena mi hanno dato una risposta conclusiva, perché sembrano non comprendere il problema e questo è, a mio avviso, il lato più grave della faccenda: non capire che certe scelte rappresentino una minaccia alla sicurezza fisica a virtuale dell’ospite.

Conclusioni

Andiamo verso la digitalizzazione e informatizzazione di moltissimi processi, la domotica è entrata nelle case e anche nelle stanze di hotel.

Oggi demandiamo allo smartphone l’accesso alle stanze ma un domani potremmo programmare la temperatura della stanza, o controllare le luci: è tutto bellissimo, ma se perdiamo il controllo, se questo avanzare è fatto senza curarci della sicurezza, stiamo solo aprendo le porte della nostra privacy in un luogo dove vorremmo solo rilassarci e riposarci. Anche per gli hotel, le compagnie aeree o di navigazione auspico un’adozione responsabile del GDPR e un occhio di riguardo quando decidono di trasferire funzioni e servizi tipici dell’ospitalità su app e device: la sicurezza del cliente non è un optional, va servita, inclusa nel prezzo.