Acțiune:
Samsung SmartThings Security Flaw Ce trebuie să știți
Cercetătorii de securitate de la Universitatea din Michigan au descoperit o serie de defecte de proiectare în platforma Samsung SmartThings. Defectele potențial subminează securitatea oricărei configurații inteligente de acasă utilizând ecosistemul SmartThings 3 moduri de a vă proteja familia și casa cu prezența SmartThings 3 moduri de a vă proteja familia și casa cu prezența SmartThings Doriți să utilizați tehnici pentru a vă păstra cel mai apropiat și cel mai drag sigur? Verificați ce poate face o prezență SmartThings pentru a păstra un ochi atent asupra casei dvs. Citiți mai multe, permițând aplicațiilor rău intenționate să deblocați ușile, să declanșeze în mod fals alarmele, să setați codurile de acces acasă, să treacă dispozitive din modul de vacanță și o serie de alte vectori de atac.
Într-un mod ușor de salvare, unul dintre atacuri depinde de descărcarea de către utilizator a unei aplicații rău intenționate din magazinul SmartThings sau de urmărirea unui link rău intenționat. Odată ce aplicația rău intenționată este descărcată, un atacator ar putea efectua în mod eficient un atac la distanță de oriunde din lume.
În mod evident, Samsung a fost defensiv în ceea ce privește problemele critice de securitate, susținând că funcționează în deplină cunoștință de cauză și că acestea sunt eliminate în mod activ.
E destul de bun? Sau ar trebui Samsung, o companie multinationala de tehnologie, sa investigheze in mod activ de ce produsele sale sunt aparent transportate cu bug-uri de securitate? Hai să aruncăm o privire.
Vulnerabilități multiple
Cercetătorii de securitate de la Universitatea din Michigan au conceput mai multe exploatații de dovezi de concept concentrate pe expunerea oricăror eșecuri potențiale în ecosistemul Samsung SmartThings. Fiind unul dintre cei mai mari producători de dispozitive IoT Ready (Internet de obiecte), inclusiv frigidere, termostate, cuptoare, uși de securitate, încuietori, panouri, senzori și multe altele, nu va fi o surpriză faptul că acreditările de securitate sunt sub control.
Cercetatorii au confirmat ca defectele au fost cauzate de doua defecte intrinseci de design in ecosistemul SmartThings. Mai mult este faptul că cele două defecte intrinseci ale designului nu sunt neapărat ușor de rezolvat.
Problemele se referă la modul în care aplicațiile de control inteligente de la terțe părți implementează protocolul de autorizare OAuth. Cercetătorii au descoperit o aplicație neconformă și au reușit să construiască un întreg atac bazat pe defect, trimițând un singur link către pagina de autentificare SmartThings, dar fură simultan tokenul de autentificare al utilizatorului. Cu ajutorul jetoanelor în mână, un atacator ar putea să își creeze propriul cod PIN pentru o blocare inteligentă în timp ce utilizatorul nu ar mai avea cunoștință. 4 Utilizează într-adevăr funcții inteligente pentru SmartThings Deschideți senzori închise 4 Utilizează cu adevărat funcția Cool For SmartThings Deschideți senzorii închis Senzorul Open / Closed este destinat monitorizează ușile și porțile, dar cu o anumită creativitate poate face mult mai mult. Iată câteva idei pentru a utiliza dispozitivul pentru a vă face casa mai puțin inteligentă. Citeste mai mult .
Un alt exploatare a inclus exploatarea unei vulnerabilități “modul de vacanță” off, demonstrând accesul la permisiuni la nivel înalt. Odată ce ați accesat “modul de vacanță” se acordă unui atacator, pot atenua orice moduri de apărare pre-programate de vacanță, cum ar fi luminile de circulație aleatorie în întreaga casă sau deschiderea și închiderea blind-urilor pentru a simula o locuință ocupată.
Aceasta duce la a doua fațetă a problemei de securitate SmartThings. Cele mai multe dintre aplicațiile exploatate de cercetători nu ar trebui să aibă acest nivel de privilegiu pentru a începe. Cercetătorii de securitate au stabilit că magazinul SmartThings conține peste 500 de aplicații individuale Iată cum aplicația nouă SmartThings este un pas major înapoi Iată cum noua aplicație SmartThings este un pas major înapoi O actualizare recentă a aplicației SmartThings demonstrează că compania ar putea schimba cursul. Acest tip de tehnologie se schimba cu siguranta, insa ramane de vazut daca acest lucru este mai bun sau mai rau. Citiți mai multe oferind un anumit grad de control sau automatizare a casei dvs. Ei au descoperit că peste 40% din aceste aplicații acordă prea multe privilegii pentru lucrarea uneori simplă pe care au fost proiectate să o facă.
Aceste “supra-privilegiu” aplicațiile creează o problemă semnificativă de securitate, deși nu este în întregime vina designerului. Atul Prakash, profesor de informatică și inginerie de la Universitatea din Michigan, a explicat-o:
“Granturile de acces SmartThings, în mod implicit, sunt la un nivel complet al dispozitivului, mai degrabă decât unul mai restrâns. Ca o analogie, spuneți că îi dați pe cineva permisiunea de a schimba becul în biroul dvs., dar persoana ajunge, de asemenea, să obțină acces la întregul dvs. birou, inclusiv conținutul dulapurilor de depozitare.”
Răspunsul Samsung
După cum v-ați aștepta, Samsung a fost protector față de interesele pentru Internetul obiectelor. Declarația SmartThings este după cum urmează:
“Protejarea confidențialității și securității datelor clienților noștri este fundamentală pentru tot ceea ce facem la SmartThings. Suntem pe deplin conștienți de raportul University of Michigan / Microsoft Research și lucrăm cu autorii raportului pentru ultimele câteva săptămâni pe modalitățile prin care putem continua să facem casa mai inteligentă mai sigură pe măsura creșterii industriei.
Vulnerabilitățile potențiale dezvăluite în raport sunt în primul rând dependente de două scenarii - instalarea unui SmartApp rău intenționat sau eșecul unor dezvoltatori terță parte de a urma instrucțiunile SmartThings privind modul în care își păstrează codul sigur.
În ceea ce privește SmartApps-urile malware descrise, acestea nu au și nu vor afecta niciodată clienții noștri din cauza proceselor de certificare și de revizuire a codului SmartThings are la dispoziție pentru a asigura că SmartApps-urile rău intenționate nu sunt aprobate pentru publicare. Pentru a îmbunătăți în continuare procesele noastre de aprobare SmartApp și a ne asigura că vulnerabilitățile descrise continuă să nu afecteze clienții noștri, am adăugat cerințe suplimentare de revizuire a securității pentru publicarea oricărui SmartApp.
Ca o platformă deschisă cu o comunitate de dezvoltatori în creștere și activă, SmartThings oferă îndrumări detaliate cu privire la modul de păstrare a codului securizat și de a determina ce este o sursă de încredere. În cazul în care codul este descărcat dintr-o sursă de încredere, acest lucru poate prezenta un risc potențial la fel ca atunci când un utilizator de PC instalează software de pe un site necunoscut de la o terță parte, există riscul ca software-ul să conțină cod malitios. În urma acestui raport, ne-am actualizat cele mai bune practici documentate pentru a oferi dezvoltatorilor o îndrumare mai bună în materie de securitate.”
Nu este prima dată când Samsung a intrat în probleme de securitate IoT, și nici nu este o problemă izolată pentru nicio companie tehnologică. Dispozitivele IoT au fost în mod constant sursa problemelor de securitate, iar majoritatea utilizatorilor care explorează dispozitive noi, conectate la Internet, nu înțeleg pe deplin severitatea a ceea ce fac. De ce Internetul lucrurilor este cel mai mare coșmar de securitate De ce Internetul Lucrurile sunt cel mai mare coșmar al securității Într-o zi, ajungeți acasă de la serviciu pentru a descoperi că sistemul dvs. de securitate acasă a fost încălcat. Cum se poate întâmpla? Cu Internetul lucrurilor (IoT), ați putea afla modul greu. Citeste mai mult .
Studiu SmartApp mic
Echipa de cercetare a finalizat chiar un studiu adesea extrem de mic al oamenilor care utilizează SmartApps, măsurându-și atenția asupra permiselor pe care le acordau.
În mod șocant, 20 dintre cei 22 de persoane intervievate ar lăsa o aplicație de monitorizare a bateriei să verifice starea încuietori inteligente instalate în incinta lor, în condițiile în care aplicația ar trimite codurile de acces la ușă către un server de la distanță. Este posibil ca utilizatorii să nu se angajeze cu precauție în ceea ce privește securitatea personală, mai ales atunci când implică o posibilă pierdere gravă sau, în cel mai rău caz, un pericol personal.
Dar, în mod egal, și aici mă comporți cu utilizatorii, o problemă majoră este faptul că companiile care instalează și implementează sisteme inteligente în întreaga reședință și afacere private nu oferă suficient sprijin educațional utilizatorilor 7 Motive pentru care Internetul lucrurilor ar trebui să vă sperie 7 motive De ce ar trebui să vă sperie Internetul lucrurilor Beneficiile potențiale ale internetului obiectelor devin luminoase, în timp ce pericolele sunt aruncate în umbrele liniștite. Este momentul să atrageți atenția asupra acestor pericole cu șapte promisiunile teribile ale IoT. Citeste mai mult .
Sigur, utilizatorul ar putea a intelege despre care vorbeste instalatorul, dar au digerat cu adevarat faptul ca intreaga lor casa este in retea? Înțeleg că frigiderul lor este acum online 5 Dispozitive pe care nu le doriți să vă conectați la Internetul obiectelor 5 Dispozitive pe care nu doriți să le conectați la Internetul obiectelor Internetul lucrurilor (IoT) poate să nu fie tot ceea ce este spart fi. De fapt, există unele dispozitive inteligente pe care probabil că nu doriți să le conectați la web. Citiți mai multe și că frigiderul lor este acum deschis la aceleași vulnerabilități ca și tableta lor? Deoarece puteți să vă pariați dolarul inferior, utilizatorul va fi mult mai actualizat cu vulnerabilități de tabletă decât o amenințare oarecum intangibilă la conținutul chillerului Samsung Smart Fridge Just Poted. Ce zici de restul casei tale inteligente? Frigiderul inteligent Samsung tocmai a fost pontat. Ce zici de restul casei tale inteligente? O vulnerabilitate cu frigiderul inteligent Samsung a fost descoperită de compania britanică Infosec, firmă Pen Test Parters. Implementarea de către Samsung a unei criptări SSL nu verifică validitatea certificatelor. Citeste mai mult .
Sau, așa cum echipa de cercetători a Universității din Michigan a scris:
“Dispozitivele inteligente de acasă și platformele de programare asociate vor continua să se prolifereze și vor rămâne atractive pentru consumatori, deoarece oferă funcționalități puternice. Cu toate acestea, concluziile din această lucrare sugerează că și precauția este justificată - din partea adoptatorilor premergători și din partea designerilor-cadru. Riscurile sunt semnificative și este puțin probabil să fie abordate cu ușurință prin intermediul unor patch-uri de securitate simple.”
Nu este nevoie de panică. Samsung a început deja să abordeze unele dintre principalele probleme evidențiate în lucrare, deși va dura ceva timp pentru a asigura faptul că cadrul SmartThings este cu adevărat o adevărată platformă inteligentă de acasă inteligentă Care Smart Hub pentru Automatizarea Acasă este cel mai bun pentru dvs.? Care Smart Hub pentru Automatizarea Acasă este cel mai bun pentru dvs.? Pentru o vreme, oamenii se gândeau la această idee ca pe un gimmick, dar versiunile recente de produse au arătat că automatizarea inteligentă a locuințelor începe să se conformeze promisiunilor sale. Citeste mai mult .
Folosești SmartThings? V-ați gândi să treceți la un alt cadru? Spuneți-ne mai jos!
Credit de imagine: Alexander Kirch prin Shutterstock