La porta di casa che si apre da sola, senza che nessuno tocchi la maniglia. La telecamera del salotto che si accende nel cuore della notte, riprendendo chi dorme sul divano. Il campanello che risponde a comandi invisibili.

Non è immaginazione, né un film di fantascienza, ma ciò che sarebbe potuto accadere a chiunque avesse associato i propri oggetti smart a Tuya, una delle piattaforme di domotica più diffuse al mondo.

Una sola azione, un clic ingenuo su un link, bastava a mettere in mano a un hacker il completo controllo della casa connessa, collegando tutti i dispositivi della vittima al suo account Alexa.

La falla, confermata da Tuya e oggi risolta, è stata individuata dai ricercatori del Gruppo Abissi, società italiana specializzata in cyber security.

Per anni questa vulnerabilità ha esposto un numero enorme di dispositivi a possibili abusi, senza che gli utenti se ne accorgessero. Il problema non riguardava solo Tuya Smart e Smartlife ― le due app Tuya che solo su Android superano i 10 milioni di download a testa ― ma anche la libreria Tuya: un componente standard utilizzato in decine di applicazioni che controllano milioni di videocamere, serrature e sensori nelle nostre case.

“Vulnerabilità di questo tipo possono diventare strumenti perfetti per operazioni di spionaggio e sorveglianza, anche da parte di governi”, avverte Luca Savoldi, amministratore delegato del Gruppo Abissi.

Come funziona la vulnerabilità

“Abbiamo scoperto la vulnerabilità mentre testavamo l’app di un nostro cliente per controllare i robot che lavano il pavimento”, racconta Andrea Columbu, Head of Application Security del Gruppo Abissi. “Ma presto abbiamo capito che il problema non era quell’app, bensì l’SDK di Tuya: un pacchetto di codice che migliaia di sviluppatori integrano nelle proprie applicazioni. Un attaccante poteva intercettare il link di autenticazione generato da Amazon per collegare Alexa ai dispositivi smart e farlo aprire a una vittima. Nel momento in cui quest’ultima cliccava, l’app Tuya collegava i suoi dispositivi all’account Alexa dell’attaccante”.

E dal momento del clic, l’hacker poteva accendere la telecamera del salotto, aprire la porta d’ingresso o disattivare l’allarme, senza lasciare tracce visibili.

Gli scenari che si aprivano erano due. Se l’utente non avesse mai abilitato Alexa sulle app Tuya, l’attaccante avrebbe usato i dispositivi della vittima. Ma la vulnerabilità funzionava perfino se la vittima aveva già collegato i dispositivi ad Alexa. In quest’ultimo caso, i dispositivi passavano dall’account Alexa della vittima a quelli dell’hacker.

Il trucco era possibile perché Tuya non verificava un passaggio cruciale: non controllava che l’app con cui veniva avviato il processo di associazione era la stessa che lo aveva iniziato.

In pratica, un attaccante avviava la procedura per collegare la propria Alexa a dei dispositivi smart qualsiasi. Così Amazon generava un link di autenticazione che poteva essere copiato e inviato alla vittima via email o SMS. Se la vittima lo apriva, convinta fosse una richiesta legittima, l’app Tuya sul suo telefono completava in automatico l’associazione, ma verso l’account dell’hacker.

Cross-Site Request Forgery, un rischio per gli oggetti smart

La vulnerabilità è stata pubblicata sul portale Mitre (con il codice identificativo CVE-2025-56400), l’organizzazione statunitense che cataloga tecniche e tattiche dei criminali informatici.

E aggiunge un tassello importante nella conoscenza delle vulnerabilità CSRF (Cross-Site Request Forgery), che consentono a un attaccante di indurre una vittima a compiere azioni indesiderate su servizi online in cui è già autenticata.

“Anche se è un tipo di vulnerabilità noto da anni, la sua rilevanza è aumentata con l’adozione diffusa dei sistemi di Single Sign-On (SSO), un processo di autenticazione che permette di accedere a più applicazioni con un solo set di credenziali”, osserva Columbu. “Il flusso di autenticazione non viene sempre implementato correttamente dagli sviluppatori. E poiché sempre più persone utilizzano servizi online ogni giorno e le tecniche di phishing sono sempre più sofisticate, la probabilità di incontrare problemi di CSRF resta alta”.