Beveiligingsonderzoekers van de University of Michigan hebben een aantal ontwerpfouten blootgelegd in het SmartThings-platform van Samsung. De fouten ondermijnen mogelijk de veiligheid van slimme thuisopstellingen die het SmartThings-ecosysteem gebruiken 3 manieren om uw gezin en huis te beschermen met SmartThings Aanwezigheid 3 manieren om uw gezin en huis te beschermen met SmartThings-aanwezigheid Wilt u technologie gebruiken om uw naasten veilig te houden? Bekijk wat een SmartThings-aanwezigheid kan doen om een oogje in het zeil te houden over uw huis. Meer lezen, waarmee kwaadwillende apps deuren kunnen ontgrendelen, alarmen op onterechte wijze kunnen instellen, toegangscodes voor thuisgebruik kunnen instellen, apparaten uit de Vakantiemodus kunnen wekken en een groot aantal andere aanvalsvectoren.
In een kleine mate van genade is een van de aanvallen afhankelijk van het downloaden door de gebruiker van een kwaadaardige app uit de SmartThings-winkel of door het volgen van een kwaadwillende link. Zodra de kwaadwillende app is gedownload, kan een aanvaller effectief vanaf elke plek op de wereld een aanval op afstand uitvoeren.
Het is begrijpelijk dat Samsung defensief is geweest over de kritieke beveiligingsproblemen, bewerend dat deze met volledige kennis van de problemen werkt en dat ze actief worden verwijderd.
Is dat goed genoeg? Of moet Samsung, een multinationaal technologiebedrijf, actief onderzoeken waarom hun producten schijnbaar worden verzonden met beveiligingsproblemen? Laten we kijken.
Meerdere kwetsbaarheden
Beveiligingsonderzoekers van de universiteit van Michigan hebben een aantal proof-of-concept-exploits ontwikkeld die gericht zijn op het blootleggen van mogelijke tekortkomingen in het Samsung SmartThings-ecosysteem. Als een van de grootste fabrikanten van IoT Ready-apparaten (internet of things), waaronder koelkasten, thermostaten, ovens, veiligheidsdeuren, vergrendelingen, panelen, sensoren en nog veel meer, zal het geen verrassing zijn dat hun beveiligingsreferenties onder toezicht staan. .
De onderzoekers bevestigden dat de fouten werden veroorzaakt door twee intrinsieke ontwerpfouten in het SmartThings-ecosysteem. Wat meer is, is dat de twee intrinsieke ontwerpfouten niet per se eenvoudig te repareren zijn.
De problemen hebben betrekking op de implementatie van het autorisatieprotocol OAuth door Smart Home Control-applicaties van derden. De onderzoekers ontdekten een niet-conforme applicatie en waren in staat om een hele aanval rond de fout te bouwen, een enkele link naar de eigenlijke SmartThings-inlogpagina te sturen, maar tegelijkertijd het inlog-token van de gebruiker te stelen. Met de tokens in de hand kon een aanvaller op praktische wijze zijn eigen pincode maken voor een slim slot, terwijl de gebruiker onverwacht zou blijven. 4 Echt cool gebruik voor SmartThings Open gesloten sensoren 4 Erg cool gebruik voor SmartThings Open gesloten sensoren De open / gesloten sensor is bedoeld om monitor deuren en poorten, maar met wat creativiteit kan het veel meer doen. Hier zijn ideeën om het apparaat te gebruiken om uw huis een beetje slimmer te maken. Lees verder .
Een andere exploit was het gebruik van een kwetsbaarheid om de "vakantiemodus" uit te schakelen, waarmee de toegang tot machtigingen op hoog niveau werd aangetoond. Nadat een aanvaller toegang heeft gekregen tot de "vakantiemodus", kunnen ze alle voorgeprogrammeerde vakantiebeschermingsmodi, zoals willekeurig knipperende lichten in het hele huis, of openende en sluitende jaloezieën verzachten om een bewoond verblijf te simuleren.
Dit leidt tot het tweede aspect van het beveiligingsprobleem van SmartThings. De meeste van de apps die door de onderzoekers worden geëxploiteerd, zouden dit niveau van operationele privileges niet moeten hebben om mee te beginnen. De beveiligingsonderzoekers hebben vastgesteld dat de SmartThings-winkel meer dan 500 individuele apps bevat. Hier leest u hoe de nieuwe SmartThings-app een grote stap achteruit is. Een recente update van de SmartThings-app laat zien dat het bedrijf misschien van koers verandert. Dit soort technologie is zeker aan het veranderen, maar het valt nog te bezien of dit voor beter of slechter is. Meer lezen biedt een zekere mate van controle of automatisering van uw huis. Vervolgens vonden ze dat meer dan 40% van deze apps te veel privileges verleenden voor de soms eenvoudige taak waarvoor ze waren ontworpen.
Deze 'overprivilege'-apps vormen een belangrijk beveiligingsprobleem, hoewel het vaak niet geheel de schuld van de ontwerper is. Atul Prakash, hoogleraar computerwetenschappen en techniek aan de universiteit van Michigan legde het uit als:
"De toegang die SmartThings standaard verleent, is op volledig apparaatniveau in plaats van smaller. Als een analogie, stel dat je iemand toestemming geeft om de gloeilamp in je kantoor te vervangen, maar de persoon krijgt ook toegang tot je hele kantoor, inclusief de inhoud van je archiefkasten. "
De Samsung Response
Zoals je zou verwachten, heeft Samsung de belangen van Internet of Things beschermd. De SmartThings-verklaring is als volgt:
"Het beschermen van de privacy en gegevensbeveiliging van onze klanten is fundamenteel voor alles wat we doen bij SmartThings. We zijn ons volledig bewust van het rapport van de University of Michigan / Microsoft Research en hebben de afgelopen weken samen met de auteurs van het rapport gewerkt aan manieren om het slimme huis veiliger te maken naarmate de sector groeit.
De potentiële kwetsbaarheden die in het rapport worden onthuld, zijn in de eerste plaats afhankelijk van twee scenario's: de installatie van een kwaadwillende SmartApp of het falen van externe ontwikkelaars om SmartThings-richtlijnen te volgen voor het beveiligen van hun code.
Met betrekking tot de beschreven kwaadaardige SmartApps hebben deze geen effect op onze klanten vanwege de certificatie- en codebeoordelingsprocedures die SmartThings heeft ingesteld om te voorkomen dat kwaadwillende SmartApps worden goedgekeurd voor publicatie. Om onze SmartApp-goedkeuringsprocessen verder te verbeteren en ervoor te zorgen dat de beschreven potentiële kwetsbaarheden onze klanten niet blijven beïnvloeden, hebben we aanvullende beveiligingsevaluatievereisten toegevoegd voor de publicatie van een SmartApp.
Als een open platform met een groeiende en actieve ontwikkelaarsgemeenschap biedt SmartThings gedetailleerde richtlijnen voor het veilig houden van alle code en bepalen wat een betrouwbare bron is. Als code wordt gedownload van een niet-vertrouwde bron, kan dit een potentieel risico vormen, net als wanneer een pc-gebruiker software van een onbekende externe website installeert, bestaat het risico dat software schadelijke code bevat. Naar aanleiding van dit rapport hebben we onze gedocumenteerde best practices bijgewerkt om ontwikkelaars nog betere beveiligingsrichtlijnen te bieden. "
Het is niet de eerste keer dat Samsung IoT-beveiligingsproblemen tegenkomt, en het is ook geen probleem voor een enkel technologiebedrijf. IoT-apparaten zijn consequent de bron van beveiligingsproblemen geweest en een meerderheid van gebruikers die nieuwe, voor internet geschikte, netwerkapparatuur verkennen, begrijpt de ernst van wat ze doen niet volledig Waarom het internet der dingen de grootste veiligheid is Nachtmerrie Waarom internet Things Is The Biggest Security Nightmare Op een dag kom je thuis van je werk om te ontdekken dat je cloud-enabled huisbeveiligingssysteem is geschonden. Hoe kon dit gebeuren? Met Internet of Things (IoT) kon je er op de harde manier achter komen. Lees verder .
Kleine SmartApp-studie
Het onderzoeksteam voltooide zelfs een weliswaar zeer kleine studie van mensen die SmartApps gebruikten, waarbij ze hun aandacht vestigden op de toestemmingen die ze toekenden.
Het schokkende is dat 20 van de 22 geïnterviewde personen een app voor batterijcontrole zouden toestaan de status te controleren van slimme sloten die in hun gebouwen zijn geïnstalleerd, op voorwaarde dat de app de toegangscodes voor deuren zou verzenden naar een externe server. Het kan een geval zijn van gebruikers die hun due diligence voor persoonlijke veiligheid niet plegen, meer in het bijzonder wanneer dit het potentieel voor ernstig verlies of in het ergste geval persoonlijk gevaar met zich meebrengt.
Maar evenzeer, en dit is waar ik het met de gebruikers over heb, een groot probleem is dat de bedrijven die slimme systemen installeren en implementeren in privé-woningen en bedrijven niet genoeg educatieve ondersteuning bieden aan gebruikers. 7 Redenen waarom het internet der dingen je moet schrikken 7 Redenen Waarom het internet der dingen u bang moet maken De potentiële voordelen van het internet der dingen worden helder, terwijl de gevaren in de stille schaduwen worden geworpen. Het is tijd om de aandacht te vestigen op deze gevaren met zeven angstaanjagende beloften van het ivd. Lees verder .
Natuurlijk begrijpt de gebruiker misschien waar het installatieprogramma over praat, maar hebben ze echt het feit verteerd dat hun hele huis is genetwerkt? Begrijpen ze dat hun koelkast nu online is? 5 Apparaten die u NIET wilt verbinden met het internet der dingen 5 Apparaten die u NIET wilt verbinden met het internet der dingen Het internet der dingen (IoT) is misschien niet alles waar het op staat worden. In feite zijn er enkele slimme apparaten die u helemaal niet op het web wilt aansluiten. Meer lezen en dat hun koelkast nu openstaat voor dezelfde kwetsbaarheden als hun tablet? Omdat je je onderste dollar kunt wedden, zal de gebruiker veel meer up-to-date zijn met de kwetsbaarheden van de tablet in plaats van een enigszins ongrijpbare bedreiging voor de inhoud van de koelmachine. De Smart Fridge Just Got Pwned van Samsung. Hoe zit het met de rest van uw Smart Home? De Smart Koelkast van Samsung is net Pwned geworden. Hoe zit het met de rest van uw Smart Home? Een kwetsbaarheid met de slimme koelkast van Samsung werd ontdekt door het in het Verenigd Koninkrijk gevestigde infosec-bedrijf Pen Test Parters. Samsung's implementatie van SSL-codering controleert niet de geldigheid van de certificaten. Lees verder .
Of, zoals het onderzoekersteam van de Universiteit van Michigan schreef:
"Smart Home-apparaten en de bijbehorende programmeerplatforms zullen blijven groeien en aantrekkelijk blijven voor consumenten omdat ze krachtige functionaliteit bieden. De bevindingen in dit document suggereren echter dat ook voorzichtigheid geboden is - van de kant van early adopters en van kaderleden. De risico's zijn aanzienlijk en het is onwaarschijnlijk dat ze gemakkelijk kunnen worden aangepakt via eenvoudige beveiligingspatches. "
Er is geen reden tot paniek. Samsung is al begonnen met het aanpakken van enkele van de belangrijkste kwesties die in de krant worden genoemd, hoewel het enige tijd zal duren voordat het SmartThings-raamwerk echt een echt veilig smart home-platform is Welke slimme hub voor thuisautomatisering is het beste voor u? Welke slimme hub voor domotica is het beste voor u? Een tijdlang dachten mensen dat het idee niets meer was dan een gimmick, maar recente productreleases hebben aangetoond dat slimme huisautomatisering zijn beloftes waarmaakt. Lees verder .
Gebruik je SmartThings? Overweegt u om over te schakelen naar een ander kader? Laat het ons hieronder weten!
Image Credit: Alexander Kirch via Shutterstock