È il sistema operativo d’elezione per i dispositivi della Internet delle Cose, ed è anche un OS pieno di vulnerabilità di sicurezza estremamente gravi. Patch e aggiornamenti già disponibili.
I ricercatori di Zimperium hanno identificato ben 13 vulnerabilità di sicurezza all’interno di FreeRTOS, problemi potenzialmente sfruttabili per compromettere ogni genere di infrastruttura della IoT fuori e dentro il cloud. I principali produttori si sono già attivati per aggiornare il codice, mentre le piccole realtà avranno un mese di tempo per mettersi in regola prima della pubblicazione delle falle.
FreeRTOS è un kernel usato come sistema operativo in tempo reale per un numero incredibilmente alto di gadget della Internet delle Cose, una piattaforma con 15 anni di attività sulle spalle che si autodefinisce lo “standard di fatto per microcontroller e piccoli microprocessori” ed è impiegato per sistemi di monitoraggio della temperatura, elettrodomestici, sensori, tracker per il fitness, sistemi di automazione industriale, auto, serrature elettroniche, misuratori di elettricità e molto altro ancora.
Falle nel kernel
Stando agli analisti di Zimperium, le 40 e più piattaforme hardware che adottano il kernel di FreeRTOS sono affette da vulnerabilità in grado di permettere l’esecuzione di codice malevolo da remoto, eseguire attacchi DoS, rubare dati e informazioni degli utenti; basta inviare i pacchetti di dati giusti via Internet o su rete locale e si possono in teoria compromettere impianti industriali, abitazioni private che fanno uso di apparati di domotica e molto altro.
In particolare, gli esperto hanno verificato la presenza delle tredici falle nella versione open source “pura” di FreeRTOS con stack TCP (fino alla versione 10.0.1), AWS FreeRTOS fino a V1.3.1 (usato da Amazon per i suoi servizi IoT via cloud) e le derivazioni commerciali OpenRTOS e SafeRTOS con il middleware WHIS Connect per le comunicazioni TCP/IP.
Le principali aziende attive nel settore hanno già distribuito le patch sviluppate in collaborazione con Zimperium; i piccoli vendor avranno invece a disposizione un periodo di grazia di 30 giorni per la distribuzione degli aggiornamenti prima della pubblicazione dei dettagli tecnici sulle falle.
Grandi e piccole aziende della IoT hanno adottato FreeRTOS grazie alle sue ridotte necessità in fatto di memoria, alla velocità del kernel e alla capacità di girare su numerose piattaforme (ARM, x86 e altre). Il fatto che un progetto così importante presti il fianco a problemi tanto gravi evidenzia, per l’ennesima volta, la oramai notoria tendenza della IoT a trascurare la sicurezza informatica in favore di accessibilità e connettività.
Potrebbe interessarti anche:
Come controllare se il router è stato infettato da VPNFilter
Il futuro dell’Internet delle Cose: la situazione attuale e quello che avverrà .