Una falla di sicurezza scoperta oltre dieci anni fa continua a mettere a rischio milioni di dispositivi wireless in tutto il mondo. L'exploit denominato "Pixie Dust", reso pubblico nel 2014, rappresenta ancora oggi una minaccia concreta per router, access point e altri apparecchi di rete, nonostante i produttori abbiano avuto tempo più che sufficiente per correggere questa vulnerabilità. La situazione emersa da una recente analisi rivela un quadro preoccupante di negligenza da parte dell'industria tecnologica.
Un decennio di vulnerabilità ignorate
La ricerca condotta da NetRise ha portato alla luce dati allarmanti: sei produttori diversi hanno commercializzato dispositivi vulnerabili all'exploit Pixie Dust, con firmware rilasciati ben dopo la scoperta della falla. Il campione analizzato comprende 24 dispositivi tra router, range extender, access point e prodotti ibridi Wi-Fi/powerline, tutti esposti al rischio di attacchi informatici.
Il dato più sconcertante riguarda i tempi di reazione dell'industria. Il firmware più datato tra quelli vulnerabili risale al settembre 2017, quasi tre anni dopo la divulgazione pubblica dell'exploit. In media, i produttori hanno continuato a rilasciare versioni vulnerabili per 7,7 anni dopo la pubblicazione iniziale della falla di sicurezza.
Patch tardive e promesse disattese
Anche quando i produttori hanno deciso di intervenire, le correzioni sono arrivate con tempi biblici. Le patch per l'exploit Pixie Dust hanno impiegato in media 9,6 anni per vedere la luce, un ritardo che lascia perplessi considerando la natura critica della vulnerabilità.
La situazione diventa ancora più grave se si considera che molti di questi dispositivi sono stati venduti con la promessa di supporto continuo e aggiornamenti di sicurezza. I consumatori, fidandosi delle garanzie dei produttori, hanno continuato a utilizzare apparecchi che in realtà rappresentavano un punto di accesso privilegiato per potenziali attaccanti.
Un problema sistemico dell'industria
L'ampia diffusione di questa vulnerabilità tra diversi produttori suggerisce un problema strutturale nel modo in cui l'industria tecnologica affronta la sicurezza. Non si tratta di un caso isolato, ma di una negligenza sistemica che coinvolge produttori diversi e linee di prodotti differenti.
La ricerca di NetRise evidenzia come il settore dei dispositivi di rete domestici e aziendali soffra di una mancanza di coordinamento nella gestione delle vulnerabilità note. Mentre il mondo della cybersecurity si evolve rapidamente, molti produttori sembrano rimanere ancorati a pratiche obsolete che mettono a rischio la sicurezza degli utenti finali.
Questo scenario pone interrogativi importanti sulla responsabilità delle aziende nel mantenere aggiornati i propri prodotti e sulla necessità di standard più rigorosi per la gestione delle vulnerabilità nell'Internet delle Cose domestico e aziendale.
