Sikkerhedsforskere ved University of Michigan har afdækket en række konstruktionsfejl i Samsungs SmartThings-platform. Manglerne potentielt underminerer sikkerheden for enhver smart hjemmeopsætning ved hjælp af SmartThings økosystem 3 måder at beskytte din familie og hjemme med SmartThings Presence 3 måder at beskytte din familie og hjemme med SmartThings Presence Vil du bruge tech til at holde din nærmeste og kæreste sikre? Se, hvad SmartThings Presence kan gøre for at holde et vågent øje over dit hjem. Læs mere, hvilket gør det muligt for ondsindede programmer at låse op døre, forfalskede alarmer falsk, indstille hjemmeadgangskoder, vække enheder fra ferietilstand og et væld af andre angrebsvektorer.
I en lille besparelse er en af angrebene afhængig af, at brugeren downloader en skadelig app fra SmartThings-butikken eller ved at følge et ondsindet link. Når den ondsindede app er downloadet, kan en angriber effektivt foretage et fjernt overfald fra overalt i verden.
Forståeligt har Samsung været defensiv over de kritiske sikkerhedsproblemer, idet den hævder, at den arbejder med fuld viden om problemerne, og at de bliver aktivt fjernet.
Er det godt nok? Eller skal Samsung, et multinationalt teknologiselskab, aktivt undersøge, hvorfor deres produkter tilsyneladende forsendes med sikkerhedsfejl? Lad os se.
Flere sårbarheder
Sikkerhedsforskere ved University of Michigan udtænkte flere proof-of-concept-udnyttelser med fokus på at afsløre eventuelle potentielle fejl i Samsung SmartThings-økosystemet. Som en af de største producenter af IoT Ready (Internet of Things) enheder, herunder køleskabe, termostater, ovne, sikkerhedsdøre, låse, paneler, sensorer og meget mere, kommer det ikke som nogen overraskelse, at deres sikkerhedsoplysninger er under kontrol .
Forskerne bekræftede fejlene var forårsaget af to iboende designfejl i SmartThings økosystem. Hvad mere er, er at de to egentlige designfejl ikke nødvendigvis er nemme at rette.
Problemerne vedrører, hvordan tredjeparts smart home control-applikationer implementerer godkendelsesprotokollen OAuth . Forskerne opdagede en ikke-kompatibel ansøgning og kunne bygge et helt angreb baseret på fejlen, sende et enkelt link til den faktiske SmartThings login side, men stjæle brugerens login-token på samme tid. Med håndbøgerne i hånden kan en angriber muligvis oprette deres egen PIN-kode til en smart lås, mens brugeren forbliver uovertruffen. 4 Virkelig kølige anvendelser til SmartThings Åbn lukkede sensorer 4 Virkelig kølige anvendelser til SmartThings Åbn lukkede sensorer Den åbne / lukkede sensor er beregnet til at overvåge døre og porte, men med en vis kreativitet kan det gøre meget mere. Her er ideer til at bruge enheden til at gøre dit hjem lidt smartere. Læs mere .
En anden udnyttelse omfattede udnyttelse af en sårbarhed for at slukke "ferie mode" off, hvilket demonstrerer adgang til tilladelser på højt niveau. Når adgang til "feriemodus" er givet til en angriber, kan de afbøde eventuelle forprogrammerede ferieforsvarstilstande, som tilfældigt cykellys i hele huset, eller åbne og lukke persienner for at simulere et besat ophold.
Dette fører til den anden del af SmartThings sikkerhedsproblem. De fleste af de apps, der udnyttes af forskerne, bør ikke have dette niveau af funktionsrettigheder til at begynde med. Sikkerhedsforskerne etablerede SmartThings-butikken indeholder over 500 individuelle apps. Sådan er den nye SmartThings App et stort skridt baglæns Sådan er den nye SmartThings App et stort skridt baglæns En nylig opdatering til SmartThings appen viser, at virksomheden kan ændre kurs. Denne slags teknologi ændrer sig helt sikkert, men det er stadig at se, om det er for bedre eller værre. Læs mere, der tilbyder en vis grad af kontrol eller automatisering af dit hjem. De fandt derefter, at over 40% af disse apps giver for mange privilegier til det undertiden simple job, de var designet til at gøre.
Disse "over-privilege" -apps skaber et betydeligt sikkerhedsspørgsmål, selvom det ofte ikke er helt fejlen fra designeren. Atul Prakash, University of Michigan professor i computervidenskab og teknik forklarede det som sådan:
"Tilgangen SmartThings-tilskud er som standard på et fuldt enhedsniveau, snarere end noget mindre. Som en analogi siger du, at du giver nogen tilladelse til at ændre pæren på dit kontor, men personen ender også med at få adgang til hele dit kontor, herunder indholdet af dine arkivkabinetter. "
Samsung Response
Som du ville forvente, har Samsung været beskyttende over deres interesser for Internet. SmartThings erklæringen er som følger:
"Beskyttelse af vores kunders privatliv og datasikkerhed er afgørende for alt, hvad vi gør på SmartThings. Vi er fuldt bevidste om University of Michigan / Microsoft Research Report og har arbejdet sammen med forfatterne af rapporten i de seneste uger på måder, hvorpå vi kan fortsætte med at gøre det kloge hjem mere sikkert, da branchen vokser.
De mulige sårbarheder, der er beskrevet i rapporten, er primært afhængige af to scenarier - installationen af en ondsindet SmartApp eller manglen hos tredjepartsudviklere til at følge SmartThings retningslinjer for, hvordan de kan holde deres kode sikker.
Hvad angår de ondsindede SmartApps beskrevet, har disse ikke og vil aldrig påvirke vores kunder på grund af certificerings- og kodeanmeldelsesprocesserne SmartThings har på plads for at sikre, at ondsindede SmartApps ikke godkendes til offentliggørelse. For yderligere at forbedre vores SmartApp-godkendelsesprocesser og sikre, at de beskrevne mulige sårbarheder fortsat ikke påvirker vores kunder, har vi tilføjet yderligere sikkerhedsvurderingskrav til offentliggørelsen af enhver SmartApp.
Som en åben platform med et voksende og aktivt udviklerfællesskab tilbyder SmartThings detaljerede retningslinjer for, hvordan du holder hele koden sikker og bestemmer, hvad der er en betroet kilde. Hvis kode hentes fra en utilstrækkelig kilde, kan dette udgøre en potentiel risiko, ligesom når en pc-bruger installerer software fra en ukendt tredjeparts hjemmeside, er der risiko for, at software indeholder skadelig kode. Efter denne rapport har vi opdateret vores dokumenterede bedste praksis for at give endnu bedre sikkerhedsvejledning til udviklere. "
Det er ikke første gang, at Samsung har ramt IoT-sikkerhedsproblemer, og det er heller ikke et problem, der er isoleret for ethvert enkelt teknologibedrift. IoT-enheder har konsekvent været kilden til sikkerhedsproblemer, og et flertal af brugere, der udforsker nye internetklarede, netværksenheder, forstår ikke alvorligheden af, hvad de laver. Hvorfor tingets internet er det største sikkerhedsmergeri, hvorfor internettet af Ting er det største sikkerhedsmardrøm En dag kommer du hjem fra arbejde for at opdage, at dit cloud-aktiverede hjemssikkerhedssystem er blevet brudt. Hvordan kunne det ske? Med Internet af Ting (IoT), kan du finde ud af den hårde vej. Læs mere .
Lille SmartApp Study
Forskerholdet afsluttede endog en ganske vist ekstremt lille undersøgelse af personer, der bruger SmartApps, og målte deres opmærksomhed på de tilladelser, de gav.
Chockingly vil 20 af de 22 interviewede personer lade et batteriovervågningsapp kontrollere status for smarte låse installeret i deres lokaler, forudsat at appen ville sende døradgangskoder til en fjernserver. Det kan være tilfældet for brugere, der ikke begår deres due diligence for personlig sikkerhed, mere, når det indebærer muligheden for alvorligt tab eller i værste fald personlig fare.
Men lige så godt, og det er her, hvor jeg kommunikerer med brugerne, er et stort problem at virksomheder, der installerer og implementerer intelligente systemer i private boliger og virksomheder, ikke tilbyder tilstrækkelig pædagogisk støtte til brugerne. 7 Grunde til, at ting af ting skal skræmme dig 7 Grunde Hvorfor ting af Internet skal skræmme dig De potentielle fordele ved tingets ting bliver stærkt, mens farerne bliver kastet ind i de stille skygger. Det er på tide at gøre opmærksom på disse farer med syv skræmmende løfter om IoT. Læs mere .
Sikker på, at brugeren måske forstår, hvad installatøren taler om, men har de virkelig fordøjet det faktum, at hele huset er netværk? Forstår de, at deres køleskab nu er online 5 enheder, du IKKE ønsker at oprette forbindelse til internettet af ting 5 enheder, du ikke ønsker at oprette forbindelse til ting på internettet ting af ting (ioT) er muligvis ikke alt det, det er revnet op til være. Faktisk er der nogle smarte enheder, som du måske ikke vil oprette forbindelse til internettet. Læs mere, og at deres køleskab nu er åbent for de samme sårbarheder som deres tablet? Fordi du kan satse på din bundne dollar, vil brugeren være langt mere up-to-date med tablet-sårbarheder end en noget uigennemførlig trussel mod indholdet af kølerens Samsungs Smart Køleskab, Just Got Pwned. Hvad med resten af dit smarte hjem? Samsungs Smart Køleskab er lige blevet pwned. Hvad med resten af dit smarte hjem? En sårbarhed med Samsungs smarte køleskab blev opdaget af UK-baserede infosec-firma Pen Test Parters. Samsungs implementering af SSL-kryptering kontrollerer ikke certifikaternes gyldighed. Læs mere .
Eller som University of Michigan forskerhold skrev:
"Smart hjemmeapparater og deres tilhørende programmeringsplatforme vil fortsætte med at sprede og forblive attraktive for forbrugerne, fordi de giver en kraftig funktionalitet. Resultaterne i dette dokument tyder dog også på, at forsigtighed også er berettiget - fra de tidlige adoptere og fra rammebestemmernes side. Risiciene er betydelige, og det er usandsynligt, at de let kan løses via enkle sikkerhedsflokke. "
Der er ingen grund til panik. Samsung er allerede begyndt at tage fat på nogle af de vigtigste problemer, der fremhæves i papiret, selvom det vil tage lidt tid at sikre, at SmartThings-rammerne virkelig er en virkelig sikker smart hjemmeplatform. Hvilket Smart Hub til Home Automation er bedst for dig? Hvilken Smart Hub til Home Automation er bedst for dig? I et øjeblik tænkte folk på ideen som intet andet end en gimmick, men nylige produktudgivelser har vist, at smart hjemmeautomatisering begynder at leve op til sine løfter. Læs mere .
Bruger du SmartThings? Vil du overveje at skifte til en anden ramme? Lad os vide nedenfor!
Billedkredit: Alexander Kirch via Shutterstock