Samsung SmartThings Security Flaw: Was Sie wissen müssen

Sicherheitsforscher der University of Michigan haben in der SmartThings-Plattform von Samsung einige Konstruktionsfehler entdeckt. Die Fehler untergraben möglicherweise die Sicherheit von Smart-Home-Setups, die das SmartThings-Ökosystem nutzen.

Sicherheitsforscher der University of Michigan haben in der SmartThings-Plattform von Samsung einige Konstruktionsfehler entdeckt.  Die Fehler untergraben möglicherweise die Sicherheit von Smart-Home-Setups, die das SmartThings-Ökosystem nutzen.
Werbung

Sicherheitsforscher der University of Michigan haben in der SmartThings-Plattform von Samsung einige Konstruktionsfehler entdeckt. Die Fehler untergraben potenziell die Sicherheit von Smart-Home-Setups mit dem SmartThings-Ökosystem. 3 Wege zum Schutz Ihrer Familie und Ihres Zuhauses mit SmartThings-Präsenz 3 Möglichkeiten zum Schutz Ihrer Familie und Ihres Zuhauses mit SmartThings-Präsenz Sie möchten mit Technik Ihren Nächsten und Ihre Liebsten schützen? Informieren Sie sich, was SmartThings Presence tun kann, um Ihr Zuhause im Auge zu behalten. Lesen Sie mehr, damit böswillige Anwendungen Türen öffnen, Alarme fälschlicherweise auslösen, Home-Access-Codes einrichten, Geräte aus dem Urlaubsmodus wecken und eine Vielzahl anderer Angriffsvektoren aktivieren.

In einer kleinen Rettungsaktion hängt einer der Angriffe davon ab, ob der Benutzer eine schädliche App aus dem SmartThings Store herunterlädt oder einem bösartigen Link folgt. Sobald die bösartige App heruntergeladen wurde, kann ein Angreifer von überall auf der Welt einen Fernangriff durchführen.

Verständlicherweise war Samsung bei den kritischen Sicherheitsproblemen defensiv und behauptete, dass es in vollem Wissen über die Probleme arbeitet und dass es aktiv entfernt wird.

Ist das gut genug? Oder sollte Samsung, ein multinationales Technologieunternehmen, aktiv untersuchen, warum seine Produkte scheinbar mit Sicherheitslücken ausgeliefert werden? Lass uns einen Blick darauf werfen.

Mehrere Schwachstellen

Sicherheitsforscher der University of Michigan haben mehrere Proof-of-Concept-Exploits entwickelt, die darauf abzielen, potenzielle Schwachstellen im Samsung SmartThings-Ökosystem aufzudecken. Als einer der größten Hersteller von IoT Ready (Internet der Dinge) -Geräten, einschließlich Kühlschränken, Thermostaten, Öfen, Sicherheitstüren, Schlössern, Panels, Sensoren und vielem mehr, wird es nicht überraschen, dass ihre Sicherheitsdaten überprüft werden .

Die Forscher bestätigten, dass die Fehler durch zwei spezifische Konstruktionsfehler im SmartThings-Ökosystem verursacht wurden. Was mehr ist, ist, dass die zwei intrinsischen Designfehler nicht einfach einfach zu beheben sind.

Die Probleme beziehen sich darauf, wie Smart-Home-Steuerungsanwendungen von Drittanbietern das Autorisierungsprotokoll OAuth implementieren. Die Forscher entdeckten eine nicht konforme Anwendung und konnten einen vollständigen Angriff basierend auf dem Fehler erstellen, indem sie einen einzelnen Link an die eigentliche SmartThings-Anmeldeseite schickten, aber gleichzeitig das Login-Token des Benutzers stahlen. Mit den Tokens in der Hand könnte ein Angreifer praktisch seine eigene PIN für eine intelligente Sperre erstellen, während der Benutzer unbemerkt bleiben würde. 4 Wirklich coole Anwendungen für SmartThings Offene geschlossene Sensoren 4 Wirklich coole Anwendungen für SmartThings Offene geschlossene Sensoren Der Open / Closed-Sensor ist dafür gedacht Türen und Tore überwachen, aber mit etwas Kreativität kann es viel mehr tun. Hier sind Ideen, um das Gerät zu verwenden, um Ihr Haus ein wenig schlauer zu machen. Weiterlesen .

Ein weiterer Exploit bestand in der Ausnutzung einer Sicherheitslücke, um den "Urlaubsmodus" auszuschalten und den Zugriff auf High-Level-Berechtigungen zu demonstrieren. Sobald einem Angreifer der Zugriff auf den "Urlaubsmodus" gewährt wurde, können sie alle vorprogrammierten Urlaubsverteidigungsmodi abmildern, wie z. B. zufällige Lichter im ganzen Haus oder Öffnen und Schließen von Blinds, um eine belegte Residenz zu simulieren.

Dies führt zur zweiten Facette des SmartThings-Sicherheitsproblems. Die meisten Apps, die von den Forschern genutzt werden, sollten diese Stufe der Betriebsberechtigung nicht haben. Die Sicherheitsforscher gründeten den SmartThings-Store mit über 500 einzelnen Apps. So geht die neue SmartThings-App einen großen Schritt nach vorn Hier zeigt sich, wie die neue SmartThings-App einen großen Schritt nach hinten macht Ein aktuelles Update der SmartThings-App zeigt, dass das Unternehmen Kursänderungen vornehmen könnte. Diese Art von Technologie ändert sich sicherlich, aber es bleibt abzuwarten, ob dies besser oder schlechter ist. Lesen Sie mehr bietet ein gewisses Maß an Kontrolle oder Automatisierung Ihres Hauses. Sie fanden dann, dass über 40% dieser Apps zu viele Privilegien für den manchmal einfachen Job gewähren, für den sie entwickelt wurden.

Diese "Überprivilegien" -Apps verursachen ein erhebliches Sicherheitsproblem, obwohl sie oft nicht allein vom Designer zu verantworten sind. Atul Prakash, Professor für Informatik und Technik an der University of Michigan, erklärte es so:

"Die SmartThings-Zugriffsrechte für Zugriffe sind standardmäßig auf einer vollständigen Geräteebene und nicht schmaler. Als eine Analogie, sagen Sie, Sie geben jemand die Erlaubnis, die Glühbirne in Ihrem Büro zu ändern, aber die Person erhält auch Zugriff auf Ihr gesamtes Büro, einschließlich der Inhalt Ihrer Aktenschränke.

Die Samsung Antwort

Wie zu erwarten war, schützte Samsung seine Interessen im Internet der Dinge. Die SmartThings-Anweisung lautet wie folgt:

"Der Schutz der Privatsphäre und Datensicherheit unserer Kunden ist grundlegend für alles, was wir bei SmartThings tun. Wir sind uns des Berichts der University of Michigan / Microsoft Research voll bewusst und haben in den vergangenen Wochen mit den Autoren des Berichts darüber zusammengearbeitet, wie wir das Smart Home im Zuge des Wachstums der Branche sicherer machen können.

Die im Bericht offengelegten potenziellen Schwachstellen hängen in erster Linie von zwei Szenarien ab: der Installation einer bösartigen SmartApp oder dem Versagen von Drittanbietern, den SmartThings-Richtlinien zu folgen, wie der Code geschützt werden kann.

In Bezug auf die beschriebenen bösartigen SmartApps haben sich diese Auswirkungen auf unsere Kunden aufgrund der Zertifizierungs- und Codeüberprüfungsprozesse, die SmartThings implementiert hat, um sicherzustellen, dass bösartige SmartApps nicht zur Veröffentlichung freigegeben werden, nicht und niemals auswirken. Um unsere SmartApp-Genehmigungsprozesse weiter zu verbessern und sicherzustellen, dass sich die beschriebenen potenziellen Schwachstellen auch weiterhin nicht auf unsere Kunden auswirken, haben wir zusätzliche Sicherheitsüberprüfungsanforderungen für die Veröffentlichung einer beliebigen SmartApp hinzugefügt.

Als offene Plattform mit einer wachsenden und aktiven Entwickler-Community bietet SmartThings detaillierte Richtlinien, wie man den gesamten Code sicher hält und bestimmt, was eine vertrauenswürdige Quelle ist. Wenn Code von einer nicht vertrauenswürdigen Quelle heruntergeladen wird, kann dies ein potenzielles Risiko darstellen, genau wie wenn ein PC-Benutzer Software von einer unbekannten Drittanbieter-Website installiert, besteht die Gefahr, dass Software bösartigen Code enthält. Nach diesem Bericht haben wir unsere dokumentierten Best Practices aktualisiert, um Entwicklern noch bessere Sicherheitsrichtlinien zu bieten. "

Es ist nicht das erste Mal, dass Samsung auf IoT-Sicherheitsrisiken gestoßen ist, noch ist es ein Problem, das auf ein einzelnes Technologieunternehmen beschränkt ist. IoT-Geräte sind seit jeher die Quelle von Sicherheitsproblemen, und die Mehrheit der Benutzer, die neue, internetfähige, vernetzte Geräte erkunden, verstehen die Schwere ihrer Handlungen nicht vollständig. Warum Das Internet der Dinge ist der größte Sicherheitsnightmare Warum das Internet von Die Dinge sind der größte Sicherheitsnightmare Eines Tages kommen Sie von der Arbeit nach Hause, um zu entdecken, dass Ihr Cloud-fähiges Heimsicherheitssystem durchbrochen wurde. Wie konnte das passieren? Mit dem Internet der Dinge (Internet of Things, IoT) könntest du es auf die harte Tour herausfinden. Weiterlesen .

Kleine SmartApp-Studie

Das Forschungsteam führte sogar eine zugegebenermaßen extrem kleine Studie über Menschen durch, die SmartApps nutzten, um ihre Aufmerksamkeit auf die von ihnen gewährten Berechtigungen zu lenken.

Erschreckenderweise ließen 20 der 22 befragten Personen eine Batterieüberwachungs-App den Status der in ihren Räumlichkeiten installierten Smart-Locks überprüfen, unter der Voraussetzung, dass die App Tür-Zugangscodes an einen Remote-Server senden würde. Es kann ein Fall von Benutzern sein, die ihre Sorgfaltspflicht für die persönliche Sicherheit nicht einhalten, insbesondere wenn es sich um ein mögliches Risiko für einen schwerwiegenden Verlust oder im schlimmsten Fall um eine persönliche Gefahr handelt.

Aber ebenso, und das ist, wo ich mit den Nutzern vertraue, ein Hauptproblem ist, dass die Unternehmen intelligente Systeme in privaten Residenzen und Unternehmen installieren und implementieren keine ausreichende pädagogische Unterstützung für die Benutzer bieten 7 Gründe, warum das Internet der Dinge Sie sieben Gründe erschrecken sollte Warum das Internet der Dinge Sie erschrecken sollte Die potenziellen Vorteile des Internets der Dinge werden hell, während die Gefahren in die stillen Schatten geworfen werden. Es ist Zeit, mit sieben schrecklichen Versprechungen des IoT auf diese Gefahren aufmerksam zu machen. Weiterlesen .

Sicher, der Benutzer könnte verstehen, worüber der Installer spricht, aber haben sie wirklich die Tatsache verdaut, dass ihr gesamtes Haus vernetzt ist? Haben sie verstanden, dass ihr Kühlschrank jetzt online ist? 5 Geräte, die Sie NICHT mit dem Internet der Dinge verbinden wollen 5 Geräte, die Sie NICHT mit dem Internet der Dinge verbinden wollen Das Internet der Dinge (IoT) ist vielleicht nicht alles, was es schafft Sein. In der Tat gibt es einige intelligente Geräte, die Sie überhaupt nicht mit dem Internet verbinden möchten. Read More, und dass ihr Kühlschrank jetzt für die gleichen Schwachstellen wie ihr Tablet offen ist? Weil Sie Ihren unteren Dollar wetten können, wird der Benutzer mit Tablet-Schwachstellen viel aktueller sein als eine etwas immaterielle Bedrohung für den Inhalt des Kühlers von Samsung Smart Fridge Just Got Pwned. Wie wäre es mit dem Rest Ihres Smart Home? Samsungs intelligenter Kühlschrank erhielt gerade Pwned. Wie wäre es mit dem Rest Ihres Smart Home? Eine Schwachstelle mit Samsungs Smart-Kühlschrank wurde von der britischen Infosec-Firma Pen Test Parters entdeckt. Die Implementierung der SSL-Verschlüsselung durch Samsung überprüft nicht die Gültigkeit der Zertifikate. Weiterlesen .

Oder, wie das Forscherteam der University of Michigan schrieb:

"Smart-Home-Geräte und ihre zugehörigen Programmierplattformen werden sich weiter verbreiten und für die Verbraucher attraktiv bleiben, da sie leistungsstarke Funktionen bieten. Die Ergebnisse in diesem Papier legen jedoch nahe, dass Vorsicht geboten ist - seitens der Early Adopters und seitens der Framework-Designer. Die Risiken sind erheblich, und es ist unwahrscheinlich, dass sie leicht über einfache Sicherheits-Patches behoben werden können. "

Es besteht kein Grund zur Panik. Samsung hat bereits damit begonnen, einige der in der Studie hervorgehobenen Probleme anzugehen, obwohl es einige Zeit dauern wird, bis das SmartThings-Framework wirklich eine wirklich sichere Smart Home-Plattform ist. Welcher Smart Hub für Hausautomatisierung ist das Beste für Sie? Welcher Smart Hub für die Heimautomatisierung ist das Beste für Sie? Für eine Weile hielten die Leute die Idee für nichts weiter als ein Gimmick, aber die jüngsten Produkt-Releases haben gezeigt, dass Smart-Home-Automation beginnt, ihre Versprechen zu halten. Weiterlesen .

Verwenden Sie SmartThings? Würden Sie in einen anderen Rahmen wechseln? Lass es uns wissen!

Bildquelle: Alexander Kirch über Shutterstock

In this article