Forside Smart hjem Samsung SmartThings sikkerhedsfejl, hvad du skal vide

Samsung SmartThings sikkerhedsfejl, hvad du skal vide

  • Joseph Goodman
  • 0
  • 3145
  • 69
Reklame

Sikkerhedsforskere ved University of Michigan har afsløret en række designfejl i Samsungs SmartThings-platform. Manglerne undergraver muligvis sikkerheden i ethvert smart home-opsætning ved hjælp af SmartThings-økosystemet 3 måder at beskytte din familie og hjem med SmartThings-tilstedeværelse 3 måder at beskytte din familie og hjem med SmartThings-tilstedeværelse Vil du bruge tech til at beskytte din nærmeste og kæreste? Se hvad en SmartThings Presence kan gøre for at holde et vågent øje med dit hjem. , der tillader ondsindede applikationer at låse døre op, falsk indstille alarmer, indstille adgangskoder til hjemmet, vågne enheder fra ferietilstand og en række andre angrebsvektorer.

I en let reddende nåde er et af angrebene afhængigt af, at brugeren downloader en ondsindet app fra SmartThings-butikken, eller ved at følge et ondsindet link. Når den ondsindede app er downloadet, kunne en angriber effektivt udføre et fjernangreb fra overalt i verden.

Forståeligt nok har Samsung været defensiv over for de kritiske sikkerhedsspørgsmål og hævdet, at den fungerer med fuld viden om problemerne, og at de fjernes aktivt.

Er det godt nok? Eller skal Samsung, et multinationalt teknologiselskab, aktivt undersøge, hvorfor deres produkter tilsyneladende leveres med sikkerhedsfejl? Lad os se.

Flere sårbarheder

Sikkerhedsforskere ved University of Michigan udtænkte adskillige proof-of-concept udnyttelser, der fokuserede på at afsløre potentielle svigt i Samsung SmartThings-økosystemet. Som en af ​​de største producenter af IoT Ready (Internet of Things) enheder, herunder køleskabe, termostater, ovne, sikkerhedsdøre, låse, paneler, sensorer og så meget mere, vil det ikke overraske, at deres sikkerhedsoplysninger er under kontrol..

Forskerne bekræftede, at fejlene var forårsaget af to iboende designfejl i SmartThings-økosystemet. Hvad mere er, at de to iboende designfejl ikke nødvendigvis er nemme at rette.

Problemerne vedrører, hvordan tredjeparts-applikationer med smart home-kontrol implementerer godkendelsesprotokollen OAuth. Forskerne opdagede en applikation, der ikke var kompatibel, og var i stand til at opbygge et helt angreb baseret på fejlen, idet de sendte et enkelt link til den faktiske SmartThings login-side, men stjal brugerens login-token på samme tid. Med symbolerne i hånden kunne en angriber muligvis oprette deres egen PIN-kode til en smart lås, mens brugeren forbliver uvidende om 4 Virkelig kølige anvendelser til SmartThings Åbne lukkede sensorer 4 Virkelig sej brug for SmartThings Åbne lukkede sensorer Den åbne / lukkede sensor er beregnet til overvåge døre og porte, men med lidt kreativitet kan det gøre meget mere. Her er ideer til at bruge enheden til at gøre dit hjem lidt smartere. .

En anden udnyttelse omfattede udnyttelse af en sårbarhed ved at dreje “ferietilstand” fra, hvilket viser adgang til tilladelser på højt niveau. Når adgang til “ferietilstand” gives til en angriber, kan de afbøde enhver forprogrammeret ferieforsvarsindstilling, såsom tilfældigt cykellamper i hele huset, eller åbne og lukke persienner for at simulere et besat opholdssted.

Dette fører til den anden facet af SmartThings-sikkerhedsspørgsmålet. De fleste af de apps, som forskerne udnytter, bør ikke have dette niveau af driftsprivilegier til at begynde med. Sikkerhedsforskerne etablerede SmartThings-butikken indeholder over 500 individuelle apps. Her er hvordan den nye SmartThings-app er et stort skridt baglæn. Her er hvordan den nye SmartThings-app er et stort skridt baglænge En nylig opdatering til SmartThings-appen viser, at virksomheden muligvis ændrer kurs. Denne form for teknologi er bestemt ved at ændre sig, men det skal stadig ses, om dette er til bedre eller værre. der tilbyder en vis grad af kontrol eller automatisering af dit hjem. De fandt derefter over 40% af disse apps tildele for mange privilegier til det undertiden enkle job, de var designet til at udføre.

Disse “over-privilegium” apps skaber et betydeligt sikkerhedsproblem, skønt det ofte ikke helt er fejlen fra designeren. Atul Prakash, University of Michigan professor i datalogi og teknik forklarede det sådan:

“Adgangen, som SmartThings tildeler som standard, er på et fuldt enhedsniveau snarere end en smalere. Som analogi kan du sige, at du giver nogen tilladelse til at skifte pære på dit kontor, men personen ender også med at få adgang til hele dit kontor, inklusive indholdet af dine arkiveringsskabe.”

Samsung-svaret

Som du kunne forvente har Samsung været beskyttende over deres interesser med Internet of Things. SmartThings-erklæringen er som følger:

“Beskyttelse af vores kunders privatliv og datasikkerhed er grundlæggende for alt, hvad vi gør på SmartThings. Vi er fuldt ud klar over University of Michigan / Microsoft Research-rapporten og har arbejdet med forfatterne af rapporten i de sidste flere uger på måder, hvorpå vi kan fortsætte med at gøre det smarte hjem mere sikkert, når industrien vokser.

De potentielle sårbarheder, der er beskrevet i rapporten, er primært afhængige af to scenarier - installationen af ​​en ondsindet SmartApp eller tredjepartsudviklernes manglende evne til at følge SmartThings retningslinjer for, hvordan man holder deres kode sikker.

Hvad angår de beskrevne ondsindede SmartApps, har disse ikke og vil aldrig påvirke vores kunder på grund af de certificerings- og kodevurderingsprocesser, som SmartThings har indført for at sikre, at ondsindede SmartApps ikke er godkendt til offentliggørelse. For yderligere at forbedre vores SmartApp-godkendelsesprocesser og sikre, at de beskrevne potentielle sårbarheder fortsat ikke påvirker vores kunder, har vi tilføjet yderligere krav til sikkerhedsgennemgang til offentliggørelse af SmartApp.

Som en åben platform med et voksende og aktivt udviklerfællesskab giver SmartThings detaljerede retningslinjer for, hvordan man kan holde al kode sikker og bestemme, hvad der er en betroet kilde. Hvis kode downloades fra en ikke-betroet kilde, kan dette udgøre en potentiel risiko, ligesom når en pc-bruger installerer software fra et ukendt tredjepartswebsted, er der en risiko for, at software kan indeholde ondsindet kode. Efter denne rapport har vi opdateret vores dokumenterede bedste fremgangsmåder for at give endnu bedre sikkerhedsvejledning til udviklere.”

Det er ikke første gang Samsung løber ind i IoT-sikkerhedsproblemer, og det er heller ikke et problem, der er isoleret for et enkelt teknologifirma. IoT-enheder har konsekvent været kilden til sikkerhedsproblemer, og et flertal af brugere, der udforsker nye, internetklare, netværksenheder, forstår ikke fuldstændigt alvorligheden af, hvad de gør, hvorfor Internet of Things er det største sikkerhed mareridt Hvorfor Internettet af Tingene er den største sikkerhedsnatten En dag kommer du hjem fra arbejde for at opdage, at dit sky-aktiverede sikkerhedssystem til hjemmet er blevet brudt. Hvordan kunne dette ske? Med Internet of Things (IoT) kunne du finde ud af den hårde måde. .

Lille SmartApp-undersøgelse

Forskerteamet afsluttede endda en ganske vist ekstremt lille undersøgelse af mennesker, der bruger SmartApps, og vurderede deres opmærksomhed på de tilladelser, de gav.

Chockerende var, at 20 af de 22 interviewede personer lod en batteriovervågningsapp kontrollere status for smarte låse, der er installeret i deres lokaler, på den forudsætning, at appen ville sende døradgangskoder til en ekstern server. Det kan være et tilfælde, hvor brugere ikke begår deres passende omhu for personlig sikkerhed, især når det indebærer potentialet for alvorligt tab eller i værste fald personlig fare..

Men lige så, og det er her, jeg kommuniserer med brugerne, er et stort problem, at virksomhederne, der installerer og implementerer smarte systemer i private boliger og virksomheder, ikke tilbyder tilstrækkelig uddannelsesstøtte til brugerne 7 grunde til, at tingenes internet skal skræmme dig 7 grunde Hvorfor tingenes internet skal skræmme dig De potentielle fordele ved tingenes internet bliver lyse, mens farerne kastes i de stille skygger. Det er tid til at henlede opmærksomheden på disse farer med syv skræmmende løfter fra IoT. .

Sikker på, brugeren måske forstå hvad installationsprogrammet taler om, men har de virkelig fordøjet det faktum, at hele deres hus er netværket? Forstår de, at deres køleskab nu er online 5 Enheder, som du IKKE ønsker at oprette forbindelse til tingenes internet 5 Enheder, som du IKKE ønsker at oprette forbindelse til tingenes internet Tingenes internet (IoT) er muligvis ikke alt, hvad det er brudt op til være. Der er faktisk nogle smarte enheder, som du overhovedet ikke ønsker at oprette forbindelse til internettet. , og at deres køleskab nu er åbent for de samme sårbarheder som deres tablet? Fordi du kan satse din nederste dollar, vil brugeren være langt mere opdateret med tablet sårbarheder snarere end en noget immateriel trussel mod indholdet af kølemakten Samsungs Smart Fridge Just Got Pwned. Hvad med resten af ​​dit smarte hjem? Samsungs Smart Køleskab er lige blevet fyret. Hvad med resten af ​​dit smarte hjem? En sårbarhed med Samsungs smart køleskab blev opdaget af UK-baserede infosec-firma Pen Test Parters. Samsungs implementering af SSL-kryptering kontrollerer ikke gyldigheden af ​​certifikaterne. .

Eller som University of Michigan forskerteam skrev:

“Smart hjemme-enheder og deres tilknyttede programmeringsplatforme vil fortsætte med at sprede sig og vil forblive attraktive for forbrugerne, fordi de leverer effektiv funktion. Imidlertid antyder konklusionerne i dette papir, at det også er berettiget med forsigtighed - fra de tidlige adoptører og fra rammedesignernes side. Risikoen er betydelig, og det er usandsynligt, at de let kan adresseres via enkle sikkerhedsrettelser.”

Det er ikke nødvendigt at få panik. Samsung er allerede begyndt at tage fat på nogle af de vigtigste problemer, der er fremhævet i avisen, skønt det vil tage nogen tid at sikre, at SmartThings-rammen virkelig er en virkelig sikker smart-hjemmeplatform. Hvilken smart hub til hjemmeautomation er bedst for dig? Hvilken smart hub til hjemmeautomation er bedst for dig? I et stykke tid tænkte folk på ideen som intet andet end en gimmick, men nylige produktudgivelser har vist, at smarthusautomation begynder at leve op til dens løfter. .

Bruger du SmartThings? Vil du overveje at skifte til en anden ramme? Fortæl os det nedenfor!

Billedkredit: Alexander Kirch via Shutterstock




Endnu ingen kommentarer

Sådan forbindes en Android-telefon til et TV 7-metoder, der fungerer (ikke kun HDMI)
Android
Sådan konfigureres en børnevenlig Amazon Fire Tablet
Android
De 7 bedste flip-telefoner til afslutning af distraktioner
Android
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.