De Smart Koelkast van Samsung is net Pwned geworden. Hoe zit het met de rest van uw Smart Home?

Een kwetsbaarheid met de slimme koelkast van Samsung werd ontdekt door het in het Verenigd Koninkrijk gevestigde infosec-bedrijf Pen Test Parters. Samsung's implementatie van SSL-codering controleert niet de geldigheid van de certificaten.

Een kwetsbaarheid met de slimme koelkast van Samsung werd ontdekt door het in het Verenigd Koninkrijk gevestigde infosec-bedrijf Pen Test Parters.  Samsung's implementatie van SSL-codering controleert niet de geldigheid van de certificaten.
Advertentie

$ 3599 is veel geld.

Het kan een fatsoenlijke tweedehandswagen opleveren, of een relatief vergeefse iMac. Je zou 3599 McChicken burgers kunnen kopen, of 2589 McDoubles. Of het kan u de Samsung RF28HMELBSR bezorgen.

Deze (snappily-named) koelkast heeft alles. Het heeft vier deuren, een kolossale 28 kubieke voet ruimte en een geïntegreerd 8 "WiFi-enabled LCD-touchscreen-display waarmee u alles kunt doen, van het nieuws lezen tot uw Android-smartphone op afstand bedienen.

Als het bekend klinkt, komt dat omdat het ooit op mijn lijst stond van de domste Smart Home-producten ooit tweeten koelkasten en webgestuurde rijstkokers: 9 van de stomste Smart Home Appliances Tweeting koelkasten en webgestuurde rijstkokers: 9 van de stomste Smart Home Toestellen Er zijn veel slimme apparaten voor thuis die uw tijd en geld verdienen. maar er zijn ook soorten die nooit het daglicht zouden moeten zien. Dit zijn 9 van de slechtste. Lees verder . En heb ik al gezegd dat het wordt geleverd met een enorm, gapend beveiligingsrisico?

Slimme koelkast, domme fout

Ja, voor al zijn verfijndheid werd deze koelkast geleverd met een aanzienlijke beveiligingsfout die een aanvaller mogelijk in staat zou stellen om heimelijk Gmail-aanmeldingsreferenties te oogsten.

De kwetsbaarheid werd voor het eerst gemeld in The Register op 24 augustus en ontdekt door het in het Verenigd Koninkrijk gevestigde infosec-bedrijf Pen Test Parters tijdens deelname aan een Internet of Things (IoT) hacking-uitdaging tijdens de recente Defcon 23-conferentie.

Het ingebouwde aanraakscherm van deze koelkast geeft de gebruiker toegang tot zijn eigen Google Agenda. Verbindingen met-en-van de servers van Google worden gecodeerd met behulp van SSL-codering Wat is een SSL-certificaat en heeft u er een nodig? Wat is een SSL-certificaat en heeft u er een nodig? Surfen op het internet kan eng zijn wanneer het om persoonlijke gegevens gaat. Read More, maar Samsung's implementatie van SSL controleert niet de geldigheid van de certificaten.

RF28HMELBSR

Dit vormt een serieus beveiligingsprobleem, aangezien iedereen in het netwerk een "Man in the Middle" zou kunnen lanceren. Wat is een Man-in-the-Middle Aanval? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Lees Meer aanval en onderschep de inloggegevens van de gebruiker tijdens het transport. Een aanvaller zou deze ook kunnen verkrijgen door een toegangspunt te vervalsen of door een draadloze deauthenticatieaanval.

Samsung heeft gezegd dat ze "deze kwestie zo snel mogelijk onderzoeken", en vermoedelijk werken ze om een ​​oplossing te vinden. Maar deze aflevering is een interessante demonstratie van hoe slecht de beveiliging op het internet der dingen mis kan gaan.

(In) beveiliging in een genetwerkte wereld van dingen

In het verleden hebben we uitvoerig gepraat over de risico's van het internet der dingen, zowel vanuit een privacy Waarom het internet der dingen de grootste veiligheid is Nachtmerrie Waarom het internet der dingen de grootste veiligheidsnachtmerrie is Op een dag kom je thuis van werk om te ontdekken dat uw cloud-enabled huisbeveiligingssysteem is geschonden. Hoe kon dit gebeuren? Met Internet of Things (IoT) kon je er op de harde manier achter komen. Lees meer en vanuit een veiligheids- en sociologisch perspectief 7 Redenen waarom het internet der dingen u zou moeten afschrikken 7 Redenen waarom het internet der dingen u zou moeten laten schrikken De potentiële voordelen van het internet der dingen worden helder, terwijl de gevaren in de stille schaduwen worden geworpen. Het is tijd om de aandacht te vestigen op deze gevaren met zeven angstaanjagende beloften van het ivd. Lees verder . Het aanpakken ervan is moeilijk, want als het gaat om het beveiligen van het internet der dingen, komen we een paar problemen tegen.

Ten eerste zijn deze apparaten geen pc's of telefoons, met het oog op het feit dat ze uniform eenvoudig kunnen worden bijgewerkt (Windows 10 zal zelfs updates voor u installeren Hoe u automatische app-updates uitschakelt in Windows 10 Hoe u automatische app-updates uitschakelt in Windows 10 Het deactiveren van systeemupdates wordt niet geadviseerd, maar in voorkomend geval, hier is hoe u het doet op Windows 10. Lees meer), en de verkopers achter hen zijn betrokken en geven regelmatig software- en beveiligingsupdates vrij. Veel smart home-producten worden niet "draadloos" bijgewerkt, waardoor u gecompliceerde of onbetrouwbare softwarepakketten, verwijderbare opslag of gewoonweg geen firmware-update kunt gebruiken.

Hoe update je bijvoorbeeld een gekoppelde koffiepot of een gecomputeriseerde thermostaat? Er is geen gemakkelijke, universele manier om dat te doen.

Het is ook belangrijk om het feit aan te pakken dat veel van deze apparaten nu door gewone mensen in hun eigen huis worden gebouwd. Arduino en Raspberry Pi hebben ons in staat gesteld netwerkconnectiviteit en geautomatiseerde logica te introduceren in plaatsen die we nog nooit voor mogelijk hadden gehouden, terwijl producten zoals Microsoft Windows 10 voor IoT Windows 10 - Naar een Arduino bij u in de buurt komen? Windows 10 - Komt u bij een Arduino bij u in de buurt? Met Read More is het gemakkelijker om deze apparaten aan het ruimere internet bloot te stellen en tegelijkertijd een wereld van kansen en risico's te creëren.

samsung-experimentationkit

Terwijl veel doorgewinterde ontwikkelaars weten hoe ze deze apparaten moeten bouwen op een veilige manier, doen veel te veel beginnende en hobbyistische ontwikkelaars dat niet.

Dan gaan we verder met het probleem van de levensduur. Nogmaals, dit probleem dat uniek endemisch is voor de Smart Home-wereld. Omdat terwijl uw pc en telefoon software uitvoeren die is gebouwd door bedrijven met een lange geschiedenis en diepe pockets, de meeste van uw Smart Home-apparaten dat niet hebben gedaan.

De overgrote meerderheid van deze bedrijven zijn vroege tot late startups, veel van deze bedrijven bevinden zich in een voorzichtige fase in hun ontwikkeling. Als ze worden afgesloten, wat gebeurt er dan met de producten die ze al hebben verzonden? Wie schrijft software-updates en beveiligingspatches?

Zoals we in het verleden al hebben geschreven, zijn hardware-startups moeilijk. Waarom hardware startups moeilijk zijn: de ErgoDox tot leven brengen Waarom hardware-startups moeilijk zijn: de ErgoDox tot leven brengen Hier is een controversiële mening voor u: het opstarten van een software-opstartproces is eenvoudig. Hardware, aan de andere kant? Hardware-startups zijn moeilijk. Echt moeilijk. Lees verder . Al dit jaar zagen we aanzienlijke ontslagen bij Leeo en Wink - twee van de grootste startups van Smart Home. Veel meer - zoals Lumos - zijn er niet in geslaagd helemaal van de grond te komen.

Maar misschien is de grootste en meest duurzame bedreiging voor Smart Home en Internet of Things-beveiliging simpelweg dat deze apparaten zijn gebouwd om langer mee te gaan dan hun fabrikanten zouden willen. Geïntegreerde systemen en Smart Home-producten kunnen jarenlang, gelukkig, werken. Veel van deze werken niet op een abonnementsservice.

Moeten we verwachten dat Nest en Philips updates aanbieden zolang Microsoft Windows XP ondersteunt? Wat Windows XPocalypse voor u betekent Wat Windows XPocalypse voor u betekent Microsoft gaat ondersteuning voor Windows XP in april 2014 omzeilen. Dit heeft ernstige gevolgen voor zowel bedrijven als consumenten. Dit is wat u moet weten als u nog steeds Windows XP gebruikt. Lees verder ?

Uit het LAN, Into The Fire

Deze veiligheidskwesties worden aanzienlijk verergerd door het feit dat veel van deze apparaten verbonden zijn met het ruimere internet en op afstand toegankelijk zijn, waardoor een reeks veiligheidsaspecten wordt geïntroduceerd.

Want wanneer u iets met internet verbindt, introduceert u vervolgens een nieuwe aanvalsvector voor iedereen die zo gemotiveerd is. In plaats van verbinding te moeten maken met uw thuisnetwerk, kan iemand dit eenvoudig op afstand oplossen.

Het is makkelijker dan je denkt. Er is zelfs een zoekmachine voor embedded systemen, genaamd Shodan. Met slechts een paar toetsaanslagen kunt u systemen vinden die wereldwijd zijn blootgesteld aan internet - van energiecentrales in Japan tot webcams in Nederland en VoIP-telefoons in New York.

samsung-shodan-iot

Gewoon zoeken naar "Web Cam" stelt duizenden op afstand toegankelijke webcams tentoon. Ik heb er echter geen toegang toe gekregen, want dat zou vrijwel zeker resulteren in het overtreden van de Computer Misuse Act 1990. De Computer Misuse Act: de wet die hacking in het VK strafbaar stelt De Computer Misuse Act: de wet die hacking in het VK criminaliseert In de Verenigde Staten UK de Computer Misuse Act 1990 gaat over het hacken van misdaden. Twhis controversiële wetgeving werd onlangs bijgewerkt om de Britse inlichtingenorganisatie GCHQ het wettelijke recht te geven om op elke computer te hacken. Zelfs de jouwe. Lees verder .

samsung-shodan-webcam

Het is eng. We zijn begonnen onze huizen op het internet te introduceren, en het is heel eenvoudig om ze te vinden en gerichte aanvallen op hen te lanceren. We zouden bezorgd moeten zijn.

Dus wat kan er worden gedaan?

Beveiligingsfouten, zoals die in de Android-koelkast van Samsung, zullen er altijd zijn. Zolang het voor leveranciers eenvoudig is om fixes te maken en ze voortdurend worden bijgewerkt gedurende de levensduur van de apparaten, is dat niet echt een probleem.

Maar het is belangrijk dat we de andere problemen aanpakken. Er moeten inspanningen worden geleverd om ervoor te zorgen dat de ontwikkelaars van Smart Home- en IoT-producten weten hoe ze veilige systemen kunnen ontwikkelen. Dit kan worden bereikt door een groter bereik met de beveiligingsgemeenschap.

Daar zijn een aantal precedenten voor. Het OWASP-project (Open Web Application Security Project) komt meteen ter sprake. Dit is gelanceerd in 2004 en heeft vrij beschikbaar educatief materiaal opgeleverd dat ontwikkelaars leert hoe ze beveiligde websites kunnen bouwen en hoe hackers de beveiliging van webtoepassingen goed kunnen testen. .

OWASP-presentatie

Er is geen reden waarom iets dergelijks niet zou kunnen worden gemaakt voor de slimme thuiswereld en voor Internet of Things-ontwikkelaars.

Bovendien moeten we ervoor zorgen dat Smart Home-systemen worden bijgewerkt en onderhouden, zelfs als de leveranciers vouwen. Dit kan worden gedaan door iedereen te verplichten om hun code vrij te geven in een broncode-escrow, waarbij de code wordt vrijgegeven als het bedrijf faillissement aanvraagt ​​of anderszins nalaat de software op een bevredigende manier te onderhouden.

En als consumenten zouden we meer van leveranciers moeten eisen. We moeten eisen dat de apparaten die we kopen worden ondersteund met beveiligingspatches voor de levensduur van het product. We mogen verwachten dat beveiligingsproblemen snel en resoluut worden opgelost. We mogen verwachten dat leveranciers beveiligingsdreigingen met absolute transparantie behandelen. En we moeten leveranciers niet betuttelen die niet aan die magere standaard voldoen.

Dit zijn allemaal relatief kleine veranderingen, maar er is geen reden om te denken dat ze niet zouden resulteren in veiliger Smart Home-apparaten. Maar wat denk je ervan?

Als je gedachten hebt, of heb je een horrorverhalen over IoT-onveiligheid, dan wil ik erover horen. Laat het me weten in de reacties hieronder en we zullen chatten.

Foto's: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)

In this article