Azienda bricka il dispositivo IOT di un cliente dopo la sua recensione negativa

Discussione in 'Sicurezza informatica' iniziata da StandardBus, 6 Apr 2017.

  1. StandardBus

    StandardBus Staff Alan Staff

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.076
    Like ricevuti:
    5.236
    [​IMG]

    Il cliente riceve il pacco a casa. Tutto contento spacchetta il contenuto: un Garadget, un dispositivo IOT che fa solo una cosa: aprire e chiudere la porta del garage via internet. Come molti dispositivi ormai, anche Garadget fa parte della schiera inarrestabile di dispositivi internet of things (IOT) destinata a surclassare in quantità il numero di computer connessi ad internet.

    Il cliente fa fatica a configurare il dispositivo, e scrive sulla community di Garadget:
    Ho appena installato e tentato di registrare una porta quando l'app ha iniziato a dare questo problema [l'app non rimane aperta]. Ho disinstallato e reinstallato l'app sull'iPhone, spento e riacceso il telefono - mi chiedo che razza di dispositivo di m***a ho appena comprato...

    ...lasciando poco dopo un feedback negativo anche su Amazon.

    La risposta del supporto? non si è fatta attendere:
    Martin,

    Il linguaggio offensivo usato qui e nella tua recensione su Amazon, inviato solo alcuni minuti dopo aver incontrato la difficoltà tecnica, dimostra il tuo scarso autocontrollo. Sono felice di fornire supporto tecnico ai clienti il Sabato sera, ma non tollero i capricci.

    Attualmente l'unica opzione è di ritornare ad Amazon il tuo Garadget per il rimborso. L'unità ID 2f0036... non sarà più in grado di connettersi al server.

    Come è stato possibile per il supporto tecnico rendere inservibile il dispositivo del cliente?
    La maggior parte dei dispositivi IOT è preconfigurata per collegarsi con l'esterno utilizzando i server dell'azienda, risparmiando al cliente l'onere (o il privilegio, a questo punto) di provvedere per sè stesso al funzionamento del dispositivo.
    In questo caso specifico, il dispositivo con seriale 2f0036* è stato aggiunto ad una blacklist interna all'azienda, ed il dispositivo, nonostante funzioni perfettamente, non potrà più collegarsi.

    Il problema è che chiusi i server dell'azienda (costano, e non restano mai aperti all'infinito), il dispositivo IOT è inservibile. Troppo spesso questo si traduce in pochi anni di utilizzo, sempre che il device sia stato comprato all'uscita e non a distanza di tempo, quando il suo ciclo vitale è giunto forzatamente al termine.

    E anche se qualcuno volesse svincolare i device IOT da questi servizi, nella maggior parte dei casi semplicemente non può farlo: non c'è una configurazione al riguardo, e gli url di collegamento sono codificati nel firmware (spesso criptato).

    L'obsolescenza "programmata" (sarebbe meglio parlare di obsolescenza causata, indicando l'intenzionalità del danno provocato all'utente) in questo caso è molto più evidente che in altri casi, ma non è il solo pericolo a cui l'internet of things espone gli utenti, esiste anche un problema di dispositivi abbandonati e non aggiornati dal produttore, che li rende estremamente vulnerabili agli attacchi dall'esterno. Ed essendo perennemente connessi ad internet, sono ghiotte prede per i criminali.
     
    #1
    Ultima modifica: 6 Apr 2017
    A cris2016, Aseptik, nastys e 6 altri utenti piace questo elemento.
  2. zoomx

    zoomx Livello 18

    Iscritto:
    12 Set 2015
    Messaggi:
    856
    Like ricevuti:
    327
    Non so se sia proprio un'obsolescenza programmata. Il problema principale di questo proliferare di oggetti connessi è che gli indirizzi IP sono troppo pochi per cui noi in casa abbiam o tutti indirizzi privati e a volte il router non ha indirizzo pubblico, specialmente in reti mobili.
    La soluzione più facile è diventata quella di avere una macchina terza, raggiungibile dal nostro oggetto IOT e dalla nostra app, che faccia da ponte. Non è affatto una soluzione ottimale, spesso la comunicazione tra noi e il nostro oggetto IOT passa per altri continenti. Ma è l'unica che si può mettere su con un intervento minimo dell'utente.

    Da oltre 10 anni c'è il nuovo standard IPv6 che permetterebbe di avere un ip pubblico per tutti i dispositivi, per cui non ci sarebbe più bisogno di questo sotterfugio dei server esterni ma il suo uso viene rimandato di anno in anno tranne piccoli settori dove è già adottato. Un po' come la storia dell'architettura a 64 bit dei PC, ormai da oltre 10 anni non ci sono più in commercio processori per PC a 32 bit ma il software è ancora prevalentemente a 32 bit, tranne le suite più grosse e costose.

    Quindi si, le ditte ci marciano sopra ma è anche vero che l'alternativa per le masse ancora non c'è. Non tutti sono smanettoni come gli utenti di questo forum.
     
    #2
    A cdante100 e StandardBus piace questo messaggio.
  3. marcyvee

    marcyvee Intellettuanale

    Iscritto:
    24 Dic 2015
    Messaggi:
    1.679
    Like ricevuti:
    425
    A parte che l'assistenza ha fatto bene a mandare a stendere un maleducato. Ma poi, a che cosa serve aprire la porta del garage tramite internet?! Uno non la apre quando è in procinto di entrare?
     
    #3
    A cdante100 piace questo elemento.
  4. StandardBus

    StandardBus Staff Alan Staff

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.076
    Like ricevuti:
    5.236
    La pubblicità mostra un tizio che si è dimenticato il cancello aperto e lo chiude da remoto. Ha senso relativamente, in effetti, ma c'è chi lo compra, quindi... why not?
    Confermo, configurare un accesso via IPv4 non è così semplice. Ma mi sono trovato ad assistere persone che abitano vicino a me con molte IPCAM dotate di DNS dinamico fornito dall'azienda e codificato nel firmware... ma il server DNS è chiuso, quindi non vanno oltre la rete locale. Questo comportamento non è corretto, e servirebbe qualche legge ad-hoc per bastonare le aziende che abbandonano i device dopo pochi anni dalla vendita... almeno mettere gli utenti nelle condizioni di potersi appoggiarei a servizi propri, anche al costo di dover aprire il portafoglio.
     
    #4
    Ultima modifica: 6 Apr 2017
  5. marcyvee

    marcyvee Intellettuanale

    Iscritto:
    24 Dic 2015
    Messaggi:
    1.679
    Like ricevuti:
    425
    Non potrebbero semplicemente rendere libero il proprio dispositivo con un aggiornamento finale?
     
    #5
  6. StandardBus

    StandardBus Staff Alan Staff

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.076
    Like ricevuti:
    5.236
    Non venderebbero quelli prodotti dopo :smirk:
     
    #6
  7. marcyvee

    marcyvee Intellettuanale

    Iscritto:
    24 Dic 2015
    Messaggi:
    1.679
    Like ricevuti:
    425
    Ah perché quindi non stiamo parlando di ditte che falliscono e lasciano i dispositivi obsoleti, ma di ditte che lo fanno dopo aver fatto uscire il modello dopo! Tipo apple!

    Qui allora torno a ripetere che gli stupidi sono i consumatori che permettono di farsi raggirare eh. Se smettessero di comprarli i rivenditori o smetterebbero di fare certe cose o morirebbero di fame.
     
    #7
    A Alegiro piace questo elemento.
  8. StandardBus

    StandardBus Staff Alan Staff

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.076
    Like ricevuti:
    5.236
    Esatto. Sono abbandoni studiati a tavolino, mere questioni di marketing e introiti.
    Il caso del cliente di Garadget mette bene in evidenza il fatto che le aziende POSSONO farlo, e che LO FANNO.
    Garadget è solo una startup lanciata su kickstarter, che non ha considerato il pericolo di fare una cosa del genere ammettendolo pubblicamente... mentre aziende più navigate stanno più attente a questo aspetto, e fanno in modo che il rallentamento o il problema sembri un guasto.

    L'utente non lo sa...
    All'installatore va bene perchè vende nuovi dispositivi...
    L'azienda non conferma...

    e fine. Il circolo vizioso ricomincia.
     
    #8
  9. zoomx

    zoomx Livello 18

    Iscritto:
    12 Set 2015
    Messaggi:
    856
    Like ricevuti:
    327
    Volendo posso fare un elenco di prodotti che diventano soprammobili a causa dello spegnimento dei server remoti. Alcuni li posseggo perché spesso vengono poi svendut a prezzo stracciato.

    Esempio buono.
    Vodafone TV connection. Credo che gli utenti Vodafone la possano ancora usare però a fine vita commissionarono un firmware che funzionava con tutti gli operatori e l'hanno svenduta a 15 euro spedizione compresa. Si tratta di un ricevitore TV stile decoder con alcune app che funzionavano anche se non collegati a Vodafone.

    Esempi cattivi
    Webby di Telecom Italia, una sorta di sveglia con possibilità di ricevere web radio, news, previsioni meteo e capacità multimediali. Sta vivendo una seconda giovinezza grazie al fatto che il firmware è parzialmente in python (progetto uebbi)
    Multimedia vision IP, fratello maggiore del precedente, attualmente totalmente bloccato se non per il multimedia in locale.
    Alcune SMART TV, le cui applicazioni obsolete vengono disattivate e rimosse a distanza.
    Quasi tutti i giochi che dipendono da server remoti.
    Tra i libri posso citare quelli con il fomato lit proprietario Microsoft i cui lettori non vengono aggiornati da una decina di anni.
     
    #9
    A StandardBus piace questo elemento.
  10. genesiPC

    genesiPC Livello 2

    Iscritto:
    16 Set 2016
    Messaggi:
    37
    Like ricevuti:
    5
    imho la soluzione migliore e' quella di non usare app e software (in generale) forniti dall'azienda venditrice e di ingegnarsi, con un minimo di conoscenze, facendo tutto in casa. Serve, alla fine, un serverino che stia sempre acceso e risponda a comandi esterni che solo tu potrai inviargli.
    Vantaggi:
    - moooooolto piu' sicuro (vi fidate delle app del venditore? Vi fidate che solo voi potete accedervi?)
    - piu' flessibile, dato che potete crearvi servizi diversi che possano inviarvi informazioni in vario modo (es stupido, telecamera che invia un twit al vostro account quando registra qualcosa)
    - sotto il vostro controllo al 100%
    - non finiscono gli indirizzi ip (visto che l'unico sarà quello di casa vostra, semmai si usano le porte diverse per indirizzarsi)
    Svantaggi:
    - ci vuole un minimo di conoscenza per impostare il tutto (e soprattutto la voglia :smile:)
    - meno stiloso di un app fatta apposta
    - necessita' di un ip fisso o, piu' semplicemente, un servizio di dns dinamico (che, va detto, a pagamento costa sui 20 euro all'anno)

    Tutto rigorosamente imho :smile:
     
    #10
    A StandardBus piace questo elemento.
  11. Aseptik

    Aseptik Livello 17

    Iscritto:
    24 Gen 2015
    Messaggi:
    720
    Like ricevuti:
    279
    Non dimentichiamoci che anche Samsung, con l'aggiornamento che ha definitivamente spento il Note 7, ha dimostrato che è semplicissimo "obsoletizzare" un dispositivo
     
    #11
Sto caricando...

Condividi questa Pagina