Strona główna Inteligentny dom Błąd w zabezpieczeniach Samsung SmartThings Co musisz wiedzieć

Błąd w zabezpieczeniach Samsung SmartThings Co musisz wiedzieć

  • William Charles
  • 0
  • 3243
  • 566
Reklama

Badacze bezpieczeństwa z University of Michigan odkryli szereg błędów projektowych w platformie Samsung SmartThings. Wady potencjalnie podważają bezpieczeństwo dowolnej inteligentnej konfiguracji domu za pomocą ekosystemu SmartThings. 3 sposoby ochrony rodziny i domu dzięki SmartThings Presence 3 sposoby ochrony rodziny i domu dzięki SmartThings Presence Czy chcesz korzystać z technologii, aby chronić najbliższych i najbliższych? Sprawdź, co może zrobić obecność SmartThings, aby mieć oko na dom. , umożliwiając złośliwym aplikacjom otwieranie drzwi, fałszywe uruchamianie alarmów, ustawianie domowych kodów dostępu, wybudzanie urządzeń z trybu urlopowego i wiele innych wektorów ataku.

W niewielkiej oszczędności jeden z ataków zależy od tego, czy użytkownik pobierze złośliwą aplikację ze sklepu SmartThings, czy też podąży za złośliwym linkiem. Po pobraniu złośliwej aplikacji osoba atakująca może skutecznie przeprowadzić zdalny atak z dowolnego miejsca na świecie.

Zrozumiałe jest, że Samsung bronił się przed krytycznymi problemami bezpieczeństwa, twierdząc, że działa z pełną świadomością problemów i że są one aktywnie usuwane.

Czy to wystarczy? A może Samsung, międzynarodowa firma technologiczna, powinna aktywnie badać, dlaczego ich produkty wydają się zawierać błędy bezpieczeństwa? Spójrzmy.

Wiele luk w zabezpieczeniach

Badacze bezpieczeństwa z University of Michigan opracowali kilka exploitów typu proof-of-concept, koncentrujących się na ujawnieniu potencjalnych wad w ekosystemie Samsung SmartThings. Jako jeden z największych producentów urządzeń IoT Ready (Internet przedmiotów), w tym lodówek, termostatów, piekarników, drzwi antywłamaniowych, zamków, paneli, czujników i wielu innych, nie będzie zaskoczeniem, że ich poświadczenia bezpieczeństwa są sprawdzane.

Naukowcy potwierdzili, że usterki spowodowane były dwiema wewnętrznymi wadami projektowymi w ekosystemie SmartThings. Co więcej, dwie wewnętrzne wady konstrukcyjne niekoniecznie są łatwe do naprawienia.

Problemy dotyczą sposobu, w jaki aplikacje kontrolne inteligentnego domu innych firm wdrażają protokół autoryzacji OAuth. Badacze odkryli jedną niezgodną aplikację i byli w stanie zbudować cały atak oparty na usterce, wysyłając pojedynczy link do faktycznej strony logowania SmartThings, ale jednocześnie wykradając token logowania użytkownika. Z tokenami w ręku atakujący może stworzyć własny PIN dla inteligentnej blokady, podczas gdy użytkownik pozostanie nieświadomy 4 Naprawdę fajne zastosowania dla SmartThings Otwarte czujniki zamknięte 4 Naprawdę fajne zastosowania dla SmartThings Otwarte zamknięte czujniki Czujnik Otwarty / Zamknięty ma na celu monitorować drzwi i bramy, ale przy odrobinie kreatywności może zrobić znacznie więcej. Oto pomysły na wykorzystanie urządzenia, aby uczynić swój dom trochę mądrzejszym. .

Kolejny exploit obejmował wykorzystanie podatności do skrętu “tryb wakacyjny” wyłączone, demonstrując dostęp do uprawnień na wysokim poziomie. Po uzyskaniu dostępu do “tryb wakacyjny” jest przyznany atakującemu, może złagodzić wszelkie wstępnie zaprogramowane tryby obrony podczas wakacji, takie jak losowe przełączanie świateł w całym domu lub otwieranie i zamykanie żaluzji w celu symulacji zajętej rezydencji.

Prowadzi to do drugiego aspektu problemu bezpieczeństwa SmartThings. Większość aplikacji wykorzystywanych przez naukowców nie powinna mieć na początku tego poziomu uprawnień operacyjnych. Badacze bezpieczeństwa ustalili, że sklep SmartThings zawiera ponad 500 pojedynczych aplikacji Oto jak nowa aplikacja SmartThings jest poważnym krokiem wstecz Oto jak nowa aplikacja SmartThings jest ważnym krokiem wstecz Ostatnia aktualizacja aplikacji SmartThings pokazuje, że firma może zmienić kurs. Ten rodzaj technologii z pewnością się zmienia, ale okaże się, czy będzie to lepsze czy gorsze. oferując pewien stopień kontroli lub automatyzacji domu. Następnie odkryli, że ponad 40% tych aplikacji przyznaje zbyt wiele przywilejów dla niekiedy prostej pracy, do której zostali stworzeni.

Te “nadmiar uprawnień” aplikacje stanowią poważny problem bezpieczeństwa, choć często nie jest to całkowicie wina projektanta. Atul Prakash, profesor informatyki i inżynierii Uniwersytetu Michigan wyjaśnił to w następujący sposób:

“Dostęp przyznawany przez SmartThings jest domyślnie na pełnym poziomie urządzenia, a nie węższy. Analogicznie powiedzmy, że dajesz komuś pozwolenie na zmianę żarówki w swoim biurze, ale osoba ta również uzyskuje dostęp do całego biura, w tym do zawartości twoich szafek na dokumenty.”

Odpowiedź Samsunga

Jak można się spodziewać, Samsung zapewnia ochronę przed interesami związanymi z Internetem przedmiotów. Instrukcja SmartThings wygląda następująco:

“Ochrona prywatności i bezpieczeństwa danych naszych klientów ma fundamentalne znaczenie we wszystkim, co robimy w SmartThings. Jesteśmy w pełni świadomi raportu University of Michigan / Microsoft Research i od kilku tygodni współpracujemy z autorami raportu nad sposobami dalszego zwiększania bezpieczeństwa inteligentnego domu w miarę rozwoju branży.

Potencjalne luki w zabezpieczeniach ujawnione w raporcie zależą przede wszystkim od dwóch scenariuszy - instalacji złośliwej aplikacji SmartApp lub nieprzestrzegania przez programistów zewnętrznych wytycznych dotyczących bezpieczeństwa kodu.

Jeśli chodzi o opisane złośliwe aplikacje SmartApps, nie miały one i nigdy nie miałyby wpływu na naszych klientów z powodu procesów certyfikacji i przeglądu kodu, które SmartThings wprowadził, aby zapewnić, że złośliwe aplikacje nie zostaną zatwierdzone do publikacji. Aby jeszcze bardziej usprawnić nasze procesy zatwierdzania SmartApp i zapewnić, że opisane potencjalne luki w dalszym ciągu nie będą wpływać na naszych klientów, dodaliśmy dodatkowe wymagania dotyczące przeglądu bezpieczeństwa w przypadku publikacji dowolnej aplikacji SmartApp.

Jako otwarta platforma z rosnącą i aktywną społecznością programistów, SmartThings zapewnia szczegółowe wytyczne, jak zabezpieczyć cały kod i określić, które jest zaufanym źródłem. Jeśli kod zostanie pobrany z niezaufanego źródła, może to stanowić potencjalne ryzyko, tak jak w przypadku, gdy użytkownik komputera PC instaluje oprogramowanie z nieznanej witryny internetowej strony trzeciej, istnieje ryzyko, że oprogramowanie może zawierać złośliwy kod. Po tym raporcie zaktualizowaliśmy nasze udokumentowane najlepsze praktyki, aby zapewnić jeszcze lepsze wskazówki bezpieczeństwa dla programistów.”

To nie pierwszy raz, kiedy Samsung napotkał problemy związane z bezpieczeństwem IoT, ani nie jest to problem izolowany dla jednej firmy technologicznej. Urządzenia Internetu Rzeczy konsekwentnie są źródłem problemów związanych z bezpieczeństwem, a większość użytkowników eksplorujących nowe, gotowe do pracy w sieci urządzenia sieciowe nie do końca rozumie powagę swoich działań. Dlaczego Internet przedmiotów jest największym koszmarem bezpieczeństwa Dlaczego Internet Rzeczy są największym koszmarem bezpieczeństwa Pewnego dnia wracasz z pracy do domu i odkrywasz, że Twój system bezpieczeństwa w chmurze został naruszony. Jak to mogło się stać? Dzięki Internetowi rzeczy (IoT) możesz dowiedzieć się na własnej skórze. .

Małe badanie SmartApp

Zespół badawczy ukończył nawet wyjątkowo małe badanie osób korzystających z SmartApps, oceniając ich uwagę na przyznane przez nich uprawnienia.

Szokująco, 20 z 22 osób, z którymi przeprowadzono wywiady, pozwoliło aplikacji monitorującej baterię sprawdzić status inteligentnych zamków zainstalowanych w ich lokalach, przy założeniu, że aplikacja wysyła kody dostępu do drzwi do zdalnego serwera. Może to być przypadek, w którym użytkownicy nie zobowiązują się do zachowania należytej staranności w celu zapewnienia bezpieczeństwa osobistego, szczególnie gdy wiąże się to z potencjalną poważną stratą lub, w najgorszym przypadku, osobistym zagrożeniem.

Równie ważne jest to, że współczuję użytkownikom, głównym problemem jest to, że firmy instalujące i wdrażające inteligentne systemy w prywatnych domach oraz firmy nie oferują użytkownikom wystarczającego wsparcia edukacyjnego. 7 powodów, dla których Internet przedmiotów powinien cię przestraszyć 7 powodów Dlaczego Internet przedmiotów powinien cię przestraszyć Potencjalne korzyści płynące z Internetu przedmiotów stają się jasne, a niebezpieczeństwa rzucane są w ciche cienie. Czas zwrócić uwagę na te niebezpieczeństwa za pomocą siedmiu przerażających obietnic IoT. .

Jasne, użytkownik może Rozumiesz o czym mówi instalator, ale czy naprawdę przeanalizowali fakt, że cały dom jest w sieci? Czy rozumieją, że ich lodówka jest teraz online 5 Urządzenia, których NIE chcesz łączyć z Internetem przedmiotów 5 Urządzenia, których NIE chcesz łączyć z Internetem przedmiotów Internet przedmiotów (IoT) może nie być wszystkim być. W rzeczywistości istnieje kilka inteligentnych urządzeń, z którymi możesz nie chcieć się łączyć z Internetem. i że ich lodówka jest teraz narażona na te same luki co tablet? Ponieważ możesz postawić dolnego dolara, użytkownik będzie o wiele bardziej aktualny z lukami w zabezpieczeniach tabletu niż raczej niematerialnym zagrożeniem dla zawartości chłodziarki Smart Lodówki Samsung Just Got Pwned. A co z resztą inteligentnego domu? Inteligentna lodówka Samsung Just Got Pwned. A co z resztą inteligentnego domu? Podatność na inteligentną lodówkę Samsung została odkryta przez brytyjską firmę Infosec Pen Test Parters. Implementacja szyfrowania SSL przez Samsung nie sprawdza ważności certyfikatów. .

Lub, jak napisał zespół badaczy z University of Michigan:

“Urządzenia inteligentnego domu i związane z nimi platformy programistyczne będą nadal się rozpowszechniać i pozostaną atrakcyjne dla konsumentów, ponieważ zapewniają potężną funkcjonalność. Jednak ustalenia zawarte w tym artykule sugerują, że należy zachować ostrożność - zarówno ze strony pierwszych użytkowników, jak i projektantów ram. Ryzyko jest znaczne i jest mało prawdopodobne, że można je łatwo rozwiązać za pomocą prostych poprawek bezpieczeństwa.”

Nie ma powodu do paniki. Samsung już zaczął zajmować się niektórymi głównymi problemami wymienionymi w artykule, choć zajmie trochę czasu, aby upewnić się, że platforma SmartThings jest naprawdę bezpieczną platformą inteligentnego domu Które inteligentne centrum automatyki domowej jest dla Ciebie najlepsze? Które inteligentne centrum automatyki domowej jest dla Ciebie najlepsze? Przez pewien czas ludzie uważali ten pomysł za sztuczkę, ale ostatnie wersje produktów pokazały, że inteligentna automatyka domowa zaczyna spełniać swoje obietnice. .

Czy korzystasz z SmartThings? Czy rozważysz przejście na inną strukturę? Daj nam znać poniżej!

Zdjęcie: Alexander Kirch przez Shutterstock




Jeszcze bez komentarzy

Dlaczego spada zaufanie do globalnego bezpieczeństwa cybernetycznego?
Bezpieczeństwo
Nowa granica Ransomware Oto, co będzie kierowane w 2017 roku
Bezpieczeństwo
10 najlepszych sposobów na ochronę przed oszustwami w tym sezonie świątecznym
Bezpieczeństwo
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.