Säkerhetsforskare vid University of Michigan har upptäckt ett antal konstruktionsfel i Samsungs SmartThings-plattform. Bristerna kan potentiellt undergräva säkerheten för alla smarta heminställningar med SmartThings ekosystem. 3 sätt att skydda din familj och hemma med SmartThings närvaro. 3 sätt att skydda din familj och hemma med SmartThings närvaro. Vill du använda teknik för att hålla din närmaste och käraste trygg? Kolla vad en SmartThings Närvaro kan göra för att hålla ett vaksamt öga över ditt hem. Läs mer, så att skadliga program kan låsa upp dörrar, felsäkra alarm, ställa in hemåtkomstkoder, väcka enheter från semesterläge och en mängd andra angreppsvektorer.
I en liten besparingsgrace är en av attackerna beroende av att användaren hämtar en skadlig app från SmartThings-butiken eller genom att följa en skadlig länk. När den skadliga appen har laddats ner, kan en angripare effektivt genomföra ett fjärranfall från var som helst i världen.
Förståligt har Samsung varit defensiv om de kritiska säkerhetsproblemen, och hävdar att den fungerar med full kännedom om problemen och att de tas bort aktivt.
Är det bra nog? Eller ska Samsung, ett multinationellt teknikföretag, aktivt undersöka varför deras produkter försiktigt levereras med säkerhetsbuller? Låt oss ta en titt.
Flera sårbarheter
Säkerhetsforskare vid University of Michigan utarbetade flera proof-of-concept-exploits som fokuserade på att avslöja eventuella misslyckanden i Samsung SmartThings ekosystem. Som en av de största tillverkarna av IoT Ready-apparater (Internet of Things), inklusive kylskåp, termostater, ugnar, säkerhetsdörrar, lås, paneler, sensorer och så mycket mer kommer det inte att överraska att deras säkerhetsuppgifter är under kontroll .
Forskarna bekräftade att felen orsakades av två inbyggda designfel i SmartThings ekosystem. Det är dessutom att de två inbyggda designfel inte nödvändigtvis är lätta att fixa.
Problemen är relaterade till hur tredjeparts smart home control-applikationer implementerar godkännandeprotokollet OAuth . Forskarna upptäckte en icke-kompatibel applikation, och kunde bygga en hel attack baserad på felet och skicka en enda länk till den faktiska SmartThings inloggningssidan, men stjäl användarens inloggnings-token samtidigt. Med tokens i handen kan en angripare skapa sin egen PIN-kod för ett smart lås medan användaren skulle förbli oavsiktlig 4 Verkligen Coola Användningar för SmartThings Öppna stängda sensorer 4 Verkligen Coola Användningar för SmartThings Öppna stängda sensorer Den öppna / slutna sensorn är avsedd att övervaka dörrar och grindar, men med viss kreativitet kan det göra mycket mer. Här är idéer för att använda enheten för att göra ditt hem lite smartare. Läs mer .
Ett annat utnyttjande innefattade utnyttjandet av en sårbarhet för att stänga "semesterläge", vilket visar tillgång till hög behörighet. När tillgång till "semesterläge" beviljas en angripare kan de mildra alla förprogrammerade semesterförsvarslägen, t.ex. slumpmässigt cykelljus över hela huset, eller öppna och stänga persienner för att simulera ett upptaget bostadsområde.
Detta leder till den andra aspekten av SmartThings säkerhetsproblem. De flesta av de appar som utnyttjas av forskarna borde inte ha denna nivå av operativ privilegium till att börja med. Säkerhetsforskarna etablerade SmartThings-butiken innehåller över 500 enskilda appar. Så här är den nya SmartThings-appen ett viktigt steg bakåt. Så här är den nya SmartThings-appen ett viktigt steg bakåt. En ny uppdatering till SmartThings appen visar att företaget kanske ändrar kursen. Denna typ av teknik förändras säkert, men det återstår att se om det här är för bättre eller sämre. Läs mer som erbjuder någon grad av kontroll eller automatisering av ditt hem. De hittade sedan över 40% av dessa appar ger för många privilegier för det ibland enkla jobbet de var avsedda att göra.
Dessa "över privilegier" -appar skapar ett betydande säkerhetsproblem, men det är ofta inte helt felet hos konstruktören. Atul Prakash, University of Michigan professor i datavetenskap och teknik förklarade det som så:
"Åtkomst SmartThings-bidrag är som standard på en full enhetsnivå, snarare än någon smalare. Som en analogi, säg att du ger någon tillåtelse att byta glödlampa på ditt kontor, men personen slutar också få tillgång till hela ditt kontor, inklusive innehållet i dina arkivskåp. "
Samsung Response
Som du kan förvänta dig har Samsung varit skyddande över sina intressen för Internet. SmartThings-satsen är följande:
"Skydda våra kunders integritet och datasäkerhet är grundläggande för allt vi gör på SmartThings. Vi är fullt medvetna om University of Michigan / Microsoft Research Report och har arbetat med författarna av rapporten under de senaste veckorna på sätt att vi kan fortsätta att göra det smarta hem säkrare när branschen växer.
De potentiella sårbarheterna som beskrivs i rapporten är i första hand beroende av två scenarier - installationen av en skadlig SmartApp eller misslyckandet hos tredje part utvecklare att följa SmartThings riktlinjer för hur de ska behålla sin kod säker.
När det gäller de skadliga SmartApps som beskrivs har dessa inte och kommer aldrig att påverka våra kunder på grund av att certifierings- och kodgranskningsprocesserna SmartThings har på plats för att säkerställa att skadliga SmartApps inte godkänns för publicering. För att ytterligare förbättra våra SmartApp-godkännandeprocesser och se till att de beskrivna möjliga säkerhetsproblemen inte fortsätter att påverka våra kunder, har vi lagt till ytterligare säkerhetskrav för publicering av SmartApp.
Som en öppen plattform med ett växande och aktivt utvecklingssamhälle, tillhandahåller SmartThings detaljerade riktlinjer för hur du behåller all kod säker och bestämmer vad som är en pålitlig källa. Om kod laddas ned från en otillförlitlig källa kan detta ge en potentiell risk, precis som när en PC-användare installerar programvara från en okänd tredje parts webbplats, finns det risk för att programvaran kan innehålla skadlig kod. Efter denna rapport har vi uppdaterat våra dokumenterade bästa metoder för att ge ännu bättre säkerhetsrådgivning till utvecklare. "
Det är inte första gången Samsung har stött på IoT-säkerhetsproblem, det är inte heller ett problem som är isolerat för ett enskilt teknikföretag. IoT-enheter har konsekvent varit källa till säkerhetsproblem, och en majoritet av användare som utforskar nya, internetkompatibla nätverksnätverk förstår inte allvaret av vad de gör. Varför Internetets Internet är den största säkerhetsmardrömmen Varför Internet av Saker är den största säkerhetsmardrömmen En dag kommer du hem från jobbet för att upptäcka att ditt molnaktiverade hemsäkerhetssystem har brutits. Hur kunde detta hända? Med Internet of Things (IoT) kan du ta reda på den svåra vägen. Läs mer .
Små SmartApp-studie
Forskargruppen avslutade till och med en viss extremt liten studie av personer som använder SmartApps, och uppmärksammade deras behörigheter.
Chockingly, 20 av de 22 intervjuade personerna skulle låta ett batteriövervakningsapp kontrollera statusen för smarta lås installerade i deras lokaler, förutsatt att appen skulle skicka dörråtkomstkoder till en fjärrserver. Det kan vara fallet med användare som inte begår sin due diligence för personlig säkerhet, mer när det innebär risk för allvarlig förlust eller i värsta fall personlig fara.
Men lika och det här är där jag kommit överens med användarna, är ett stort problem att företagen installerar och genomför smart system i privata bostäder och företag erbjuder inte tillräckligt med pedagogiskt stöd till användarna. 7 Anledningar till att saker på Internet ska skrämma dig 7 Skäl Varför Tjänstes Internet ska skrämma dig De potentiella fördelarna med saker i Dina blir ljusa, medan farorna kastas i de tysta skuggorna. Det är dags att uppmärksamma dessa faror med sju skrämmande löften om IoT. Läs mer .
Visst kan användaren förstå vad installatören pratar om, men har de verkligen smält det faktum att hela huset är nätverkat? Förstår de att deras kylskåp är nu online 5 enheter du inte vill ansluta till saker på Internet 5 enheter du inte vill ansluta till saker på internet saker av saker (IoT) kanske inte är allt det är knäckt till vara. Faktum är att det finns några smarta enheter som du kanske inte vill ansluta till webben alls. Läs mer, och att deras kylskåp nu är öppet för samma sårbarheter som deras tablett? Eftersom du kan satsa din låga dollar kommer användaren att vara mycket mer uppdaterad med sårbarheter i tabellen snarare än ett något otänkbart hot mot innehållet i kylaggregatet Samsungs Smart Kyl Just Just Pwned. Hur om resten av ditt smarta hem? Samsungs Smart Kylskåp blev bara pwned. Hur om resten av ditt smarta hem? En sårbarhet med Samsungs smarta kylskåp upptäcktes av UK-baserade Infosec-företag Pen Test Parters. Samsungs genomförande av SSL-kryptering kontrollerar inte certifikatets giltighet. Läs mer .
Eller, som University of Michigan forskare laget skrev:
"Smarta hemanordningar och deras tillhörande programmeringsplattformar kommer att fortsätta att öka och kommer att förbli attraktiva för konsumenterna, eftersom de ger en kraftfull funktionalitet. Resultaten i detta dokument tyder dock på att försiktighet också är berättigad - dels av tidiga adoptörer och av ramkonstruktörerna. Riskerna är signifikanta och det är osannolikt att de lätt kan hanteras via enkla säkerhetsfläckar. "
Det finns ingen anledning att panikera. Samsung har redan börjat ta itu med några av de viktigaste frågorna i papperet, men det tar lite tid att se till att SmartThings-ramverket verkligen är en riktigt säker smart hemplattform. Vilket smart hub för hemautomation är bäst för dig? Vilken smart nav för hemautomation är bäst för dig? En stund tänkte folk på idén som ingenting annat än en gimmick, men senaste produktutgåvor har visat att smart hemautomatisering börjar leva upp till sina löften. Läs mer .
Använder du SmartThings? Kommer du överväga att byta till en annan ram? Låt oss veta nedan!
Bildkredit: Alexander Kirch via Shutterstock