Sikkerhetsforskere ved University of Michigan har avdekket en rekke designfeil i Samsungs SmartThings-plattform. Manglene kan potensielt undergrave sikkerheten til noen smarte hjemmeoppsett ved hjelp av SmartThings økosystem. 3 måter å beskytte familien og hjemme med SmartThings Presence. 3 måter å beskytte familien og hjemme med SmartThings Presence. Vil du bruke teknologi for å holde nærmeste og kjære trygg? Sjekk ut hva SmartThings Presence kan gjøre for å holde et vakkert øye over hjemmet ditt. Les mer, slik at ondsinnede programmer kan låse opp dører, falske avbruddsalarmer, angi hjemmeadgangskoder, vekke enheter fra feriemodus og en rekke andre angrepsvektorer.
I en liten sparing er en av angrepene avhengig av at brukeren laster ned en skadelig app fra SmartThings-butikken, eller ved å følge en ondsinnet link. Når den ondsinnede appen er lastet ned, kan en angriper effektivt gjennomføre et eksternt angrep fra hvor som helst i verden.
Forståelig, Samsung har vært defensiv om de kritiske sikkerhetsproblemene, og hevdet at den opererer i full kjennskap til problemene og at de blir aktivt fjernet.
Er det bra nok? Eller bør Samsung, et multinasjonalt teknologiselskap, aktivt undersøke hvorfor deres produkter tilsynelatende sendes med sikkerhetsbuller? La oss ta en titt.
Flere sikkerhetsproblemer
Sikkerhetsforskere ved University of Michigan utarbeidet flere proof-of-concept-utfordringer med fokus på å avsløre eventuelle potensielle feil i Samsung SmartThings-økosystemet. Som en av de største produsentene av IoT Ready (Internet of Things) -utstyr, inkludert kjøleskap, termostater, ovner, sikkerhetsdører, låser, paneler, sensorer og så mye mer, kommer det ikke som noen overraskelse at deres sikkerhetsinformasjon er under kontroll .
Forskerne bekreftet at feilene var forårsaket av to uavhengige designfeil i SmartThings økosystem. Dessuten er de to innebygde designfeilene ikke nødvendigvis enkle å fikse.
Problemene gjelder hvordan tredjeparts smart home control-applikasjoner implementerer godkjenningsprotokollen OAuth . Forskerne oppdaget en ikke-kompatibel applikasjon, og kunne bygge et helt angrep basert på feilen, og sendte en enkelt kobling til den faktiske SmartThings-innloggingssiden, men stjeler brukerens påloggingsbrikke på samme tid. Med tokens i hånden kan en angriper muligens lage sin egen PIN-kode for en smart lås mens brukeren vil forbli ujevn. 4 Virkelig kule bruksområder for SmartThings Åpne lukkede sensorer 4 Virkelig kule bruksområder for SmartThings Åpne lukkede sensorer Den åpne / lukkede sensoren er beregnet på overvåke dører og porter, men med litt kreativitet kan det gjøre mye mer. Her er ideer for å bruke enheten til å gjøre hjemmet ditt litt smartere. Les mer .
En annen utnyttelse inkluderte utnyttelse av et sårbarhet for å slå "feriemodus" av, som demonstrerer tilgang til høytliggende tillatelser. Når tilgang til "feriemodus" er gitt til en angriper, kan de redusere eventuelle forhåndsprogrammerte ferieforsvarsmoduser, for eksempel tilfeldig sykkellys i hele huset, eller åpne og lukke persienner for å simulere et okkupert opphold.
Dette fører til den andre delen av SmartThings sikkerhetsproblem. De fleste av programmene som utnytnes av forskerne, bør ikke ha dette nivået av operasjonsrettigheter til å begynne med. Sikkerhetsforskerne etablerte SmartThings-butikken inneholder over 500 individuelle apps. Slik er den nye SmartThings-appen et viktig skritt bakover. Slik er den nye SmartThings-appen et viktig skritt bakover. En nylig oppdatert SmartThings-app viser at selskapet kan endre kurs. Denne typen teknologi endres sikkert, men det gjenstår å se om dette er for bedre eller verre. Les mer som tilbyr noen grad av kontroll eller automatisering av ditt hjem. De fant da at over 40% av disse appene gir for mange privilegier for den noen ganger enkle jobben de var laget for å gjøre.
Disse "over-privilege" -appene oppretter et betydelig sikkerhetsproblem, men det er ofte ikke helt feilen til designeren. Atul Prakash, Universitetet i Michigan professor i datavitenskap og ingeniørarbeid forklarte det slik:
"Tilgangen SmartThings-tilskudd som standard er på et helt enhetnivå, i stedet for noe smalere. Som en analogi, si at du gir noen tillatelse til å bytte lyspæren på kontoret, men personen ender også opp med å få tilgang til hele kontoret ditt, inkludert innholdet i arkivskapene dine. "
Samsung Response
Som du forventer, har Samsung vært beskyttende over deres interesser for Internett. SmartThings-setningen er som følger:
"Beskyttelse av kundens personvern og datasikkerhet er grunnleggende for alt vi gjør på SmartThings. Vi er fullt klar over University of Michigan / Microsofts forskningsrapport og har jobbet sammen med forfatterne av rapporten de siste ukene på måter som vi kan fortsette å gjøre det smarte hjemmet sikrere ettersom næringen vokser.
De potensielle sikkerhetsproblemene som er beskrevet i rapporten, er i hovedsak avhengig av to scenarier - installasjonen av en ondsinnet SmartApp eller feilen hos tredjepartsutviklere for å følge SmartThings retningslinjer for hvordan de skal holde koden sikker.
Når det gjelder de skadelige SmartAppene som er beskrevet, har disse ikke og vil aldri påvirke kundene våre på grunn av sertifiserings- og kodevurderingsprosessene SmartThings har på plass for å sikre at ondsinnede SmartApps ikke er godkjent for publisering. For å forbedre våre SmartApp-godkjenningsprosesser og sikre at de beskrevne mulige sikkerhetsproblemene ikke fortsetter å påvirke kundene våre, har vi lagt til flere krav til sikkerhetskrav for publisering av SmartApp.
Som en åpen plattform med et voksende og aktivt utviklerfellesskap, gir SmartThings detaljert veiledning om hvordan du beholder all kode sikker og avgjøre hva som er en pålitelig kilde. Hvis koden lastes ned fra en usikker kilde, kan dette utgjøre en potensiell risiko, akkurat som når en PC-bruker installerer programvare fra et ukjent tredjeparts nettsted, er det fare for at programvaren kan inneholde skadelig kode. Etter denne rapporten har vi oppdatert våre dokumenterte beste praksis for å gi enda bedre sikkerhetsveiledning til utviklere. "
Det er ikke første gang Samsung har kjørt i IOT-sikkerhetsproblemer, og det er heller ikke et problem som er isolert for et enkelt teknologibedrift. IoT-enheter har konsekvent vært kilden til sikkerhetsproblemer, og et flertall av brukere som utforsker nye, nettverksbaserte, nettverksbaserte enheter, forstår ikke alvorlighetsgraden av det de gjør. Hvorfor Internett av ting er det største sikkerhetsmardrittet Hvorfor Internett av Ting er det største sikkerhetsmardrittet En dag kommer du hjem fra jobb for å oppdage at ditt skytsikrede hjemmesikkerhetssystem har blitt brutt. Hvordan kan dette skje? Med Internett av Ting (IoT), kan du finne ut den harde måten. Les mer .
Liten SmartApp Study
Forskningsgruppen fullførte selv en ekstremt liten studie av folk som brukte SmartApps, og ga oppmerksomheten til de tillatelsene de bevilgte.
Chockingly, ville 20 av de 22 intervjuene som ble intervjuet, la en batteriovervåkningsprogramme kontrollere statusen for smarte låser installert i deres lokaler, på grunn av at appen ville sende døradgangskoder til en ekstern server. Det kan være tilfelle av brukere som ikke forplikter seg til personlig sikkerhet, mer når det innebærer potensial for alvorlig tap, eller i verste fall personlig fare.
Men likevel, og dette er hvor jeg kommuniserer med brukerne, er et stort problem at selskapene som installerer og implementerer smarte systemer gjennom private boliger og bedrifter, ikke tilbyr nok pedagogisk støtte til brukerne. 7 Grunner til at ting på Internett burde skremme deg 7 grunner Hvorfor Internett av ting skal skremme deg De potensielle fordelene med tingets ting blir sterke, mens farene blir kastet inn i de stille skyggene. Det er på tide å trekke oppmerksomheten til disse farene med syv skremmende løfter om IoT. Les mer .
Jo, brukeren kan forstå hva installatøren snakker om, men har de virkelig fordøyd det faktum at hele huset er nettverk? Forstår de at kjøleskapet er nå på nettet 5 Enheter du ikke vil koble til Internett av ting 5 Enheter du ikke vil koble til Internett av ting Internett-tingen (IoT) er kanskje ikke alt det er sprakk opp til være. Faktisk er det noen smarte enheter du kanskje ikke vil koble til nettet i det hele tatt. Les mer, og at deres kjøleskap er nå åpent for de samme svakhetene som tabletten? Fordi du kan satse på den nederste dollaren, vil brukeren være langt mer oppdatert med tablettens sårbarheter enn en noe immateriell trussel mot innholdet i kjølerens Samsungs Smart Kjøleskap bare blitt pwned. Hvordan om resten av ditt smarte hjem? Samsungs Smart Kjøleskap ble bare pwned. Hvordan om resten av ditt smarte hjem? Et sårbarhet med Samsungs smarte kjøleskap ble oppdaget av britisk-baserte infosec-firmaet Pen Test Parters. Samsungs implementering av SSL-kryptering kontrollerer ikke gyldigheten av sertifikatene. Les mer .
Eller, som Universitetet i Michigan forskerlaget skrev:
"Smarte hjemmedatamaskiner og tilhørende programmeringsplattformer vil fortsette å sprede seg og forbli attraktivt for forbrukerne fordi de gir kraftig funksjonalitet. Funnene i dette dokumentet tyder imidlertid på at forsiktighet også er berettiget - fra den delen av tidlige adoptere, og fra rammeprogrammerne. Risikoen er betydelig, og det er usannsynlig at de lett kan adresseres via enkle sikkerhetsoppdateringer. "
Det er ikke nødvendig å få panikk. Samsung har allerede begynt å takle noen av de viktigste problemene som er fremhevet i papiret, men det vil ta litt tid å sikre at SmartThings-rammeverket virkelig er en virkelig sikker smart hjemme-plattform. Hvilket Smart Hub for Home Automation er best for deg? Hvilken Smart Hub for Home Automation er best for deg? For en stund tenkte folk på ideen som ingenting annet enn en gimmick, men nylige produktutgivelser har vist at smart hjemmeautomatisering begynner å leve opp til sine løfter. Les mer .
Bruker du SmartThings? Vil du vurdere å bytte til et annet rammeverk? Gi oss beskjed nedenfor!
Bilde Kreditt: Alexander Kirch via Shutterstock