Immagina di acquistare un nuovo router, di configurarlo con una password Wi-Fi complessa, lunga e piena di caratteri speciali, convinto che la tua rete sia al sicuro. In realtà un malintenzionato, semplicemente stando nei pressi della tua abitazione o del tuo ufficio, potrebbe violare quella rete in pochi secondi, ignorando completamente la tua password. Questa è la cruda realtà di una vulnerabilità chiamata Pixie Dust, un difetto nel protocollo WPS che continua a minacciare milioni di dispositivi in circolazione, nonostante sia stato reso pubblico per la prima volta nel 2014.
Una ricerca recente condotta da NetRise, nota azienda di cybersecurity, rivelano un quadro non molto rassicurante; oltre l’80% dei dispositivi di rete per consumatori e piccole imprese analizzati è ancora esposto a questo attacco.
L’analisi ha esaminato 24 modelli; router, access point ed estensori di segnale, prodotti da sei diversi fornitori e rilasciati tra il 2017 e il 2025. Solo quattro di questi dispositivi hanno ricevuto una correzione, e in media il patch è arrivato dopo quasi dieci anni dalla divulgazione iniziale. Tredici dispositivi sono ancora in supporto attivo ma completamente privi di correzioni; altri sette hanno raggiunto la fine del loro ciclo di vita senza mai essere stati aggiornati.
Secondo NetRise queste non sono semplici dimenticanze; sono piuttosto il sintomo di un problema molto più profondo che affligge l’intera catena di approvvigionamento del firmware, dove librerie insicure vengono riutilizzate. Le configurazioni predefinite non vengono mai rese sicure e la trasparenza verso chi acquista i prodotti è quasi inesistente. Il protocollo WPS, progettato per semplificare la connessione dei dispositivi alla rete Wi-Fi, si rivela un tallone d’Achille fatale quando implementato con una generazione di numeri casuali a bassa entropia; rendono il PIN WPS facilmente prevedibile.
Come funziona l’attacco Pixie Dust
L’attacco Pixie Dust sfrutta una debolezza nella progettazione del protocollo Wi-Fi Protected Setup (WPS). Tutto ciò che serve a un attaccante è trovarsi nel raggio d’azione del segnale Wi-Fi della rete bersaglio. A quel punto, cattura un singolo scambio di dati, l’”handshake” iniziale del protocollo WPS. Questo pacchetto di dati contiene informazioni crittografiche che, se generate con metodi predeterministici o a bassa entropia, possono essere decodificate offline.
Il processo di forzatura bruta del PIN WPS, una volta ottenuto, avviene interamente sul computer dell’attaccante; l’ottenimento del PIN in chiaro richiede da uno a due secondi. A questo punto la complessità della password Wi-Fi, che potrebbe essere lunga venti caratteri e includere lettere maiuscole, minuscole, numeri e simboli, diventa del tutto irrilevante. Il malintenzionato ottiene il PIN WPS e può connettersi alla rete come se fosse autorizzato.
Strumenti automatizzati per eseguire questo attacco sono disponibili in rete e di facile utilizzo. Il problema persiste perché molti produttori, anche nei firmware rilasciati nel 2025, continuano a implementare WPS; con le stesse librerie vulnerabili di oltre dieci anni fa. In alcuni casi, il WPS appare disabilitato nell’interfaccia grafica di configurazione del router; ma rimane attivo e sfruttabile a livello di firmware, creando percorsi di attacco nascosti e silenziosi. Questo è particolarmente pericoloso in ambienti ad alto livello di fiducia; uffici, negozi al dettaglio, banche e strutture sanitarie dove la sicurezza della rete è data per scontata.
Le conseguenze: Pixie Dust è solo la punta dell’iceberg
La persistenza della vulnerabilità Pixie Dust va ben oltre un singolo bug tecnico. È un campanello d’allarme che segnala problemi sistemici radicati nell’industria dei dispositivi di rete; in particolare dei dispositivi IoT che fanno spesso affidamento al protocollo WPS.
La prima falla è nella gestione del ciclo di vita del firmware. Molti produttori non dispongono di meccanismi di aggiornamento efficaci o automatici. Anche quando le correzioni vengono rilasciate, spesso arrivano con anni di ritardo e sono accompagnate da avvisi di sicurezza vaghi o inesistenti. I bollettini di aggiornamento possono limitarsi a frasi generiche come “Fixed some security vulnerability”; raramente viene menzionato esplicitamente Pixie Dust, lasciando chi acquista i prodotti all’oscuro del reale livello di rischio del suo dispositivo.
La seconda falla riguarda la catena di approvvigionamento del firmware stessa. I produttori riutilizzano costantemente componenti software e librerie di terze parti senza sottoporli a revisioni di sicurezza adeguate. Questo porta alla diffusione virale di difetti noti, come la generazione di numeri casuali insicura, in nuovi prodotti.
La terza conseguenza è la mancanza di visibilità. Le organizzazioni non hanno modo di sapere con certezza se i dispositivi che hanno in uso, anche quelli di ultima generazione, siano affetti da questa vulnerabilità. Sono costrette a fare affidamento esclusivo sulle dichiarazioni dei produttori, che spesso non arrivano mai. Questo espone i produttori a rischi di danno reputazionale, azioni legali e potenziali interventi normativi. Secondo NetRise questo è un circolo vizioso di negligenza; mette a repentaglio la sicurezza di reti domestiche e aziendali in tutto il mondo.
Come proteggerti dalla minaccia Pixie Dust
Anche se la responsabilità principale ricade sui produttori, ci sono azioni che puoi intraprendere per ridurre il rischio di essere vittima di un attacco Pixie Dust. La misura più efficace e immediata è disabilitare completamente il protocollo WPS sul tuo router o punto di accesso. Non basta nasconderlo o disattivarlo dall’interfaccia web; devi accedere alle impostazioni avanzate e assicurarti che sia spento. Se non sei sicuro di come fare, consulta il manuale del dispositivo o il sito web del produttore.
La seconda azione fondamentale è verificare la presenza di aggiornamenti del firmware. Accedi all’interfaccia di gestione del tuo dispositivo e controlla se sono disponibili nuovi firmware. Installali immediatamente.
Tuttavia, come è risultato dal test random dei dispositivi, molti di questi non riceveranno mai una correzione; quindi la disabilitazione completa del WPS rimane l’unica difesa affidabile. Per le organizzazioni più strutturate, è essenziale generare un Software Bill of Materials (SBOM); ovvero l’analisi binaria delle immagini del firmware installato sui dispositivi.
Uno SBOM permette di identificare con precisione quali componenti software sono presenti e se contengono vulnerabilità note; anche quando il produttore non fornisce informazioni. Inoltre, è buona norma auditare regolarmente le configurazioni wireless predefinite su tutti i dispositivi della rete.
Spesso, le impostazioni di fabbrica privilegiano la facilità d’uso a scapito della sicurezza. Infine, se sei un azienda, chiedi trasparenza ai tuoi fornitori. Richiedi avvisi di sicurezza chiari e tempestivi riguardo allo stato dei dispositivi, specialmente quando raggiungono la fine del loro ciclo di vita e non riceveranno più aggiornamenti.
Non sempre i Firmware sono sicuri
La storia della vulnerabilità Pixie Dust è una lezione amara su come l’industria gestisce, o meglio, mal gestisce la sicurezza del firmware. I vecchi exploit non scompaiono magicamente con il tempo. Senza una visibilità costante e approfondita nel firmware che alimenta i nostri dispositivi, non si può dare per scontato che una vulnerabilità sia stata risolta.
La sicurezza del firmware deve essere scrutinata con la stessa attenzione e rigore riservati a qualsiasi altro strato dell’infrastruttura informatica. Il protocollo WPS, progettato per semplificare la vita, si è rivelato un vettore di attacco persistente a causa di implementazioni negligenti e di una cultura della sicurezza che arriva sempre in ritardo.
La soluzione non è solo tecnologica, ma anche culturale e operativa. Richiede che i produttori adottino pratiche di sviluppo sicure, forniscano aggiornamenti tempestivi e siano trasparenti sui rischi. Richiede che chi acquista i prodotti pretenda questa trasparenza e agisca per proteggersi, disabilitando funzionalità pericolose come il WPS.
