Mentre KNX IP Secure e KNX Data Secure proteggono gli impianti KNX da accessi locali o remoti non autorizzati, Christian Kiefel ci ricorda l’importanza della sicurezza degli assistenti vocali su base cloud connessi ai sistemi dell’abitazione.
Il mercato degli assistenti a controllo vocale è in rapida espansione a livello mondiale e si prevede una crescita annua del 7% nel prossimo triennio. Ciò è in parte dovuto alla facilità di accesso dell’utente finale tramite altoparlanti low-cost da casa o funzionalità integrate negli smartphone.
L’adozione di assistenti vocali personali come Alexa e Google Assistant rappresenta un fattore chiave per la crescita delle smart home, sebbene tutte queste soluzioni si basino su un approccio cloud-centrico in cui i dati sono raccolti ed elaborati in un’infrastruttura informatizzata esterna. Affidarsi al cloud pone interrogativi importanti sulla privacy degli utenti, oltre a spianare la strada a malintenzionati in grado di attaccare questi sistemi in vari modi, dalla raccolta illecita di dati agli attacchi ai dispositivi stessi fino al danneggiamento dei comandi.
Accesso tramite skill
La sicurezza dagli attacchi giunti da Internet dipende anche dalla struttura del sistema. Oggi, KNX IP Secure e KNX Data Secure garantiscono l’impossibilità di accessi non autorizzati all’installazione KNX, nonostante l’accessibilità di rete o il cavo bus.
Tuttavia, quando si utilizza un assistente vocale come Alexa di Amazon, è necessario attivare le cosiddette “skill” per varie attività. Sono già disponibili oltre 100.000 skill, sviluppate da aziende di tutto il mondo. In funzione dell’applicazione, ogni skill consente l’accesso a intranet interna, a vari dispositivi installati nell’abitazione e all’impianto KNX, se ritenuto necessario. Tale accesso è previsto per consentire ai comandi vocali di operare ed effettuare la query dei dispositivi. L’accesso deve essere mantenuto costantemente aperto in modo che il comando vocale possa essere eseguito in qualsiasi momento.
Chi è responsabile?
Il responsabile dell’accesso e dei relativi dati è il provider delle skill, non Amazon.
“Quando utilizzano Alexa per giocare o cercare informazioni, le persone spesso pensano di interagire soltanto con Amazon,” spiega Anupam Das, assistente di informatica presso la North Carolina State University. “Molte delle applicazioni con cui interagiscono sono state però create da terze parti e abbiamo individuato numerosi flussi nell’attuale processo di controllo che potrebbero consentire a tali terze parti di accedere a dati personali o privati dell’utente.” [1]
Anche il costruttore del gateway di Alexa installato nell’abitazione può accedere alla intranet interna e all’impianto KNX tramite le skill, in caso di necessità. Oltre alle registrazioni effettuate dagli assistenti vocali online di cui abbiamo già parlato in quest’articolo, il canale crea un maggiore rischio di attacco da Internet.
In senso figurato, KNX garantisce un livello di protezione massima della front door dell’installazione, tuttavia, per ogni skill attivata, è come se il proprietario consegnasse la chiave di questa porta a degli estranei.
Inoltre, il proprietario deve dipendere dal costruttore del dispositivo del gateway di terze parti. Si presume che il servizio, generalmente fornito gratuitamente, sia mantenuto a lungo termine. Osserviamo che tale servizio è associato a costi di gestione a carico del costruttore, per cui si deve richiedere una garanzia funzionale senza limiti di tempo.
Per questo, si raccomanda caldamente di valutare l’affidabilità dello sviluppatore o del costruttore del dispositivo prima di attivare una skill. Si dovranno inoltre leggere attentamente i termini del consenso nel GDPR (DSGVO).
Altre raccomandazioni per una maggiore protezione
Un’opzione alternativa da considerare è l’assistenza vocale offline utilizzata in particolare per azionare un’installazione KNX, come lo smart speaker Aragon di ProKNX. Non richiede skill, né attivazione del portale Internet né dati di accesso. L’accesso all’installazione KNX avviene tramite la intranet locale attraverso comandi https protetti, scongiurando qualsiasi possibilità di intrusione.
Conclusione
Quando si installa un sistema smart, una valida alternativa ai normali assistenti basati su cloud (oltre all’installazione di KNX IP Secure e KNX Data Secure per proteggere i dati da attacchi maliziosi o raccolta dati) è rappresentata da uno smart speaker che funzioni completamente offline. In futuro, queste opzioni diventeranno essenziali in quanto proteggere la sicurezza degli utenti
diverrà una funzionalità particolarmente richiesta sui sistemi smart.
Bibliografia
[1] Feb. 21-24, Network and Distributed Systems Security Symposium 2021, North Carolina State University (https://news.ncsu.edu/2021/03/alexa-skill-vulnerabilities/), (https://anupamdas.org/paper/NDSS2021.pdf)
Christian Kiefel è il CEO di ProKNX, un’innovativa azienda francese nel settore home automation di KNX che produce smart speaker offline.
