Serrature “intelligenti” messe fuori uso da un aggiornamento software errato

Un aggiornamento wireless malriuscito, previsto per un sistema di chiusura “intelligente” accessibile da remoto, ha messo fuori uso centinaia di serrature smart. Secondo quanto dichiarato da LockState, il produttore dei dispositivi in questione, gli smart lock hanno subito un “errore fatale”, che ha reso gli stessi non più in grado di esercitare la funzione di chiusura. Nella circostanza, la società statunitense, con sede a Denver, in Colorado, ha invitato i propri clienti a restituire le serrature compromesse, per effettuarne la riparazione – oppure a richiedere la sostituzione delle stesse.

“Ci rendiamo conto delle conseguenze che questo problema può aver causato sia a voi, sia alla vostra attività, e ne siamo profondamente dispiaciuti. Ognuno dei nostri dipendenti, ogni risorsa di cui dispone LockState, si sta focalizzando nel risolvere la situazione il più velocemente possibile,” ha scritto Nolan Mondrow, CEO di LockState, in una e-mail inviata ai clienti la scorsa settimana.

Complessivamente, sono stati interessati oltre 500 clienti, che facevano uso del modello RemoteLocks 6000i – ha riferito la società a Threatpost. In totale, risultano coinvolti circa 11 dei sistemi di chiusura keyless, attualmente in uso, prodotti dalla società. Il modello 6000i consente ai nostri clienti di gestire e monitorare le porte da remoto, e di avvertire gli stessi nel momento in cui i codici assegnati dovessero essere utilizzati per aprire la serratura mediante l’impiego di un keypad.

“Dopo l’invio di un aggiornamento software per la Sua serratura, quest’ultima non è più riuscita a riconnettersi al nostro servizio web, rendendo di fatto impossibile eseguire la correzione del problema da remoto,” ha dichiarato Mondrow. Secondo LockState, anziché utilizzare un codice tramite keypad, molti dei clienti interessati da tale situazione possono far uso di una chiave “fisica”, fornita assieme alle serrature.

La società ha riferito a Threatpost che lo scorso 7 agosto LockState ha erroneamente inviato un aggiornamento over-the-air per il firmware installato nei propri sistemi 6000i; l’update in questione, in realtà, era destinato alle serrature modello 7000i. L’aggiornamento ha causato il malfunzionamento dei modelli di prima generazione delle serrature 6000i, facendo sì che gli stessi non fossero più in grado né di realizzare l’operazione di chiusura, né di ricevere gli aggiornamenti trasmessi over-the-air.

“Dopo che si è verificato il problema, abbiamo immediatamente provveduto a notificare l’accaduto a coloro che avevano ricevuto l’update, ed alcune ore più tardi abbiamo comunicato, tramite e-mail, le possibili opzioni esistenti, riparazione/sostituzione,” asserisce la società nella dichiarazione rilasciata a Threatpost.

Le serrature 6000i erano disponibili in commercio per chiunque, ma facevano ugualmente parte della speciale partnership siglata da LockState con Airbnb – noto portale online – nell’ambito del programma Host Assist. LockState ha comunicato che il problema manifestatosi ha interessato circa 200 clienti di Airbnb.

Un certo numero di clienti della piattaforma Airbnb si è in effetti lamentato su Twitter per quanto è avvenuto.

Are you a stranded @Airbnb guest? @LockState just BRICKED a bunch of 6i locks. But they won't tweet updates. Trying to hide their screw-up?

— Juniper (@JuniperWyoming) August 7, 2017

Airbnb, da parte sua, non ha fornito alcuna replica alla richiesta di commentare la “storia” in questione.

Il problema dell’aggiornamento non andato a buon fine, e delle serrature rese di conseguenza inservibili, si presenta, tra l’altro, in un momento in cui viene esercitata una pressione sempre più forte ed insistente sui produttori di dispositivi IoT, per far sì che l’attenzione degli stessi si focalizzi in misura sempre maggiore nel consolidare la sicurezza e l’affidabilità di tali dispositivi. Per di più, non è nemmeno la prima volta che un sistema di chiusura keyless, per porte, ha causato dei grattacapi ai proprietari dello stesso.

Nello scorso mese di maggio, Eric Schneiderman, Attorney General di New York, ha composto una vertenza con Safetech Products, in merito alla vendita, avvenuta in precedenza, di porte e lucchetti Bluetooth non sicuri. Il problema, in questo caso, non riguardava tanto un errore fatale, bensì il fatto che Safetech trasferisse le password in chiaro via Bluetooth, tra le serrature e lo smartphone dell’utente.

L’anno scorso, infine, SecuRing ha lanciato l’allarme riguardo al fatto che risultava in uso un numero crescente di dispositivi Bluetooth – impiegati per l’accesso keyless ed i sistemi point-of-sales (POS) mobile – che si erano rivelati vulnerabili nei confronti degli attacchi di tipo “Man-in-the-Middle”.

Fonte: Threatpost