Chirp Systems, produttore di lucchetti intelligenti, è al centro di una questione di sicurezza. Le sue serrature smart presentano una pericolosa vulnerabilità che, se sfruttata, può consentire l’apertura remota del lucchetto.
I lucchetti intelligenti “smart locks” prodotti da Chirp Systems stanno sollevando preoccupazioni negli Stati Uniti. Emerge infatti che queste serrature, utilizzate in oltre 50.000 abitazioni negli USA, presentano credenziali integrate che potrebbero consentire l’apertura remota di qualunque lucchetto. Nonostante la segnalazione di questa criticità risalga a marzo 2021, Chirp Systems non ha ancora risposto.
Nell’ombra c’è anche la società madre RealPage, Inc., attualmente oggetto di azioni legali in diversi stati americani con l’accusa di aver colluso con i proprietari di immobili per alzare illegalmente gli affitti.
Il 7 marzo 2024, l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) ha lanciato un allarme relativo a un bug sfruttabile da remoto, di bassa complessità di attacco, presente nei lucchetti intelligenti Chirp Systems. “Chirp Access”, ha avvertito l’allarme CISA, “archivia in modo improprio le credenziali all’interno del proprio codice sorgente, esponendo potenzialmente informazioni delicate ad accessi non autorizzati”. Il bug ha ricevuto un punteggio di 9.1 su 10 nella scala CVSS, che valuta la gravità delle vulnerabilità.
È stato Matt Brown, ingegnere senior di sviluppo di sistemi presso Amazon Web Services, a segnalare la falla. Brown ha scoperto la debolezza e l’ha segnalata a Chirp Systems nel marzo 2021, quando l’azienda che gestisce il suo edificio residenziale ha iniziato a utilizzare i lucchetti intelligenti Chirp e ha chiesto a tutti di installare l’app Chirp per entrare e uscire dai propri appartamenti.
Munendosi delle credenziali integrate, Brown ha scoperto che un attaccante avrebbe potuto connettersi all’interfaccia di programmazione delle applicazioni (API) utilizzata da Chirp, gestita dal fornitore di lucchetti smart August.com. Attraverso quest’API, l’attaccante avrebbe potuto bloccare e sbloccare a distanza qualsiasi porta in qualsiasi edificio dotato di questa tecnologia.
Le severe implicazioni di questa vulnerabilità mettono in serio rischio la sicurezza residenziale. Di fatto, chiunque dotato delle credenziali esposte e dell’app per mobile di Chirp potrebbe aprire a distanza la porta d’ingresso di questi appartamenti.
Mentre né August né Chirp Systems hanno risposto alle richieste di commento, è incerto il numero esatto di abitazioni e residenze che utilizzano i lucchetti vulnerabili di Chirp. Tuttavia, diversi articoli del 2020 affermano che circa 50.000 unità utilizzano i lucchetti intelligenti Chirp con l’API di August.
La parent company di Chirp, RealPage, è una società di software per la gestione e l’analisi dei dati immobiliari multi-famiglia fondata nel 1998. Prima della segnalazione della vulnerabilità da parte di Brown, Chirp Systems è stata acquistata da RealPage, la quale è stata successivamente acquisita dal colosso del private equity Thoma Bravo nel 2021.