Michael Cain
0 
1567
420
Istraživači sigurnosti na Sveučilištu Michigan otkrili su brojne nedostatke u dizajnu na Samsungovoj platformi SmartThings. Nedostaci potencijalno narušavaju sigurnost bilo kakvih postavki pametne kuće pomoću ekosustava SmartThings 3 načina da zaštitite svoju obitelj i dom SmartThings Prisutnost 3 načina da zaštitite svoju obitelj i dom pomoću SmartThings Prisutnosti Želite li koristiti tehnologiju da biste zaštitili svoje najbliže i najdraže? Provjerite što SmartThings Prisutnost može učiniti da budno pazi na vaš dom. , omogućujući zlonamjernim aplikacijama za otključavanje vrata, lažno isključivanje alarma, postavljanje kodova za pristup kući, buđenje uređaja iz načina odmora i mnoštvo drugih vektora napada.
U neznatnoj milosti uštede, jedan od napada ovisi o korisniku koji je preuzeo zlonamjernu aplikaciju iz trgovine SmartThings ili slijedeći zlonamjernu vezu. Nakon što se zlonamjerna aplikacija preuzme, napadač bi mogao učinkovito izvršiti udaljeni napad s bilo kojeg mjesta na svijetu.
Razumljivo je da se Samsung branio oko kritičnih sigurnosnih pitanja, tvrdeći da djeluje u potpunosti poznavajući probleme i da se oni aktivno uklanjaju.
Je li to dovoljno dobro? Ili bi Samsung, multinacionalna tehnološka tvrtka trebala aktivno istraživati zašto njihovi proizvodi naizgled isporučuju sigurnosne pogreške? Pogledajmo.
Višestruke ranjivosti
Sigurnosni istraživači sa Sveučilišta u Michiganu osmislili su nekoliko podviga koji su dokazani o konceptu usredotočeni na otkrivanje mogućih kvarova u ekosustavu Samsung SmartThings. Budući da je jedan od najvećih proizvođača uređaja IoT Ready (Internet of Things), uključujući frižidere, termostate, pećnice, sigurnosna vrata, brave, ploče, senzore i još mnogo toga, neće biti iznenađenje da su sigurnosne vjerodajnice pod nadzorom..
Istraživači su potvrdili da su neispravnosti uzrokovane dvije unutarnje nedostatke dizajna u ekosustavu SmartThings. Što je više, dvije nedostatke dizajna nije nužno jednostavno popraviti.
Problemi se odnose na to kako treće strane aplikacije za nadzor pametnih kuća implementiraju protokol autorizacije OAutha. Istraživači su otkrili jednu neskladnu aplikaciju i mogli su izgraditi čitav napad na temelju nedostatka, slanjem jedne veze do stvarne stranice za prijavu na SmartThings, ali istovremeno krađući token za prijavu korisnika. Sa žetonima u ruci napadač bi mogao stvoriti vlastiti PIN za pametnu bravu dok korisnik ostaje bez nadzora 4 Stvarno cool koristi za SmartThings Otvorene zatvorene senzore 4 Stvarno cool koristi za SmartThings Otvorene zatvorene senzore Namjera otvorenog / zatvorenog senzora je da nadgledajte vrata i kapije, ali uz malo kreativnosti može se učiniti i mnogo više. Evo ideja kako pomoću uređaja učiniti vaš dom malo pametnijim. .
Drugi je podvig uključivao eksploataciju ranjivosti “način odmora” isključeno, demonstrirajući pristup dozvolama visoke razine. Nakon pristupa “način odmora” je dodijeljen napadaču, oni mogu ublažiti bilo koji unaprijed programirani način obrane odmora, kao što su nasumično paljenje svjetala po cijeloj kući ili otvaranje i zatvaranje sjenila kako bi simulirali okupirano prebivalište.
To dovodi do drugog aspekta sigurnosnog pitanja SmartThings. Većina aplikacija koje istraživači koriste ne bi trebala početi s ovom razinom privilegija za rad. Sigurnosni istraživači utvrdili su da trgovina SmartThings sadrži preko 500 pojedinačnih aplikacija Evo kako je Nova aplikacija SmartThings značajan korak unatrag Evo kako je Nova aplikacija SmartThings značajan korak unatrag Nedavno ažuriranje aplikacije SmartThings pokazuje da tvrtka možda mijenja tečaj. Ova vrsta tehnologije se sigurno mijenja, ali ostaje da se vidi hoće li to biti nabolje ili gore. nudeći određeni stupanj kontrole ili automatizacije vašeg doma. Tada su otkrili da preko 40% ovih aplikacija daje previše privilegija za ponekad jednostavan posao za koji su stvoreni.
To “nad-privilegija” aplikacije stvaraju značajno sigurnosno pitanje, iako dizajner često nije u potpunosti kriv. Atul Prakash, profesor računarskih znanosti i inženjerstva na Sveučilištu Michigan, to je objasnio ovako:
“Prema zadanom pristup SmartThings daje se na razini cijelog uređaja, a ne na užem. Kao analogija, recite da nekome dajete dozvolu za promjenu žarulje u vašem uredu, ali osoba također dobiva pristup cijelom vašem uredu, uključujući sadržaj vaših ormara.”
Samsung odgovor
Kao što biste i očekivali, Samsung je štitio interese svojih Interneta. Izjava SmartThings je sljedeća:
“Zaštita privatnosti naših korisnika i sigurnost podataka temeljni su za sve što radimo u SmartThingsu. Potpuno smo svjesni izvještaja sa Sveučilišta u Michiganu / Microsoft Research i posljednjih nekoliko tjedana surađujemo s autorima izvješća na načine kako da pametni dom učinimo sigurnijim kako industrija raste..
Potencijalne ranjivosti otkrivene u izvješću prvenstveno ovise o dva scenarija - instaliranju zlonamjernog SmartAppa ili neuspjehu trećih proizvođača da slijede smjernice SmartThings o tome kako zaštititi svoj kôd.
Što se tiče opisanih zlonamjernih SmartApps-a, oni nisu i nikada neće utjecati na naše kupce zbog procesa certifikacije i pregleda koda koji je SmartThings uspostavljen kako bi se osiguralo da zlonamjereni SmartApps nisu odobreni za objavu. Da bismo dodatno poboljšali naše procese odobravanja SmartApp i osigurali da opisane potencijalne ranjivosti i dalje ne utječu na naše kupce, dodali smo dodatne zahtjeve za sigurnosnim pregledom za objavu bilo kojeg SmartApp-a..
Kao otvorena platforma s rastućom i aktivnom zajednicom za razvojne programere, SmartThings nudi detaljne smjernice o tome kako sačuvati sav kôd i utvrditi što je pouzdan izvor. Ako se kôd preuzme iz nepouzdanog izvora, to može predstavljati potencijalni rizik baš kao i kad korisnik računala instalira softver s nepoznate web stranice treće strane, postoji rizik da softver može sadržavati zlonamjerni kôd. Nakon ovog izvješća, ažurirali smo dokumentirane najbolje prakse kako bismo programerima pružili još bolje sigurnosne smjernice.”
To nije prvi put da se Samsung susreo sa pitanjima sigurnosti IoT-a, niti je to problem izoliran niti jednoj tehnološkoj kompaniji. IoT uređaji su dosljedno izvor sigurnosnih problema, a većina korisnika koji istražuju nove, mrežne uređaje spremne za Internet ne shvaćaju u potpunosti ozbiljnost onoga što rade Zašto je Internet stvari najveća sigurnosna noćna mora zašto je Internet interneta Stvari su najveća sigurnosna noćna mora Jednog dana dođete kući s posla kako biste otkrili da je vaš sigurnosni sustav kuće omogućen za oblake pokvaren. Kako se to moglo dogoditi? Pomoću Interneta stvari (IoT) mogli biste otkriti težak put. .
Mala SmartApp studija
Istraživački tim je čak dovršio izuzetno malo istraživanje ljudi koji koriste SmartApps, pažnjujući im pažnju na dopuštenja koja im daju.
Šokantno, 20 od 22 ispitane osobe omogućilo bi aplikaciji za praćenje baterije provjeru statusa pametnih brava instaliranih u njihovim prostorijama, pod pretpostavkom da će aplikacija poslati pristupne kodove vrata udaljenom poslužitelju. To može biti slučaj kada korisnici ne izvrše dužnu skrb radi osobne sigurnosti, još više kad to uključuje potencijalni ozbiljni gubitak ili, u najgorem slučaju, osobnu opasnost.
Ali jednako tako, i ovdje komuniciram s korisnicima, glavni problem je što tvrtke koje instaliraju i implementiraju pametne sustave u privatnim rezidencijama i tvrtkama ne nude dovoljno obrazovnu podršku korisnicima. 7 razloga zašto Internet stvari treba uplašiti vas 7 razloga Zašto bi vas internet stvari trebao uplašiti Potencijalne prednosti Interneta stvari postaju sjajne, dok se opasnosti bacaju u tihe sjene. Vrijeme je da privučemo pozornost na ove opasnosti sa sedam zastrašujućih obećanja IoT-a. .
Naravno, korisnik bi mogao razumjeti o čemu instalater govori, ali jesu li stvarno probavili činjenicu da im je cijela kuća umrežena? Shvaćaju li da je njihov frižider sada na mreži 5 Uređaji koje NE želite povezati s Internetom stvari 5 uređaja koji NE želite povezati s Internetom stvari Internet stvari (IoT) možda nije sve do čega je provalio biti. U stvari, postoje neki pametni uređaji koje možda uopće ne želite povezati s Internetom. , i da je njihov hladnjak sada otvoren istim ranjivostima kao i njihov tablet? Budući da se možete kladiti na svoj donji dolar, korisnik će biti mnogo ažurniji s ranjivošću tableta, a ne pomalo neopipljivom prijetnjom sadržaju hladnjačevog Samsungovog pametnog hladnjaka Just Got Pwned. Kako je s ostatkom vašeg pametnog doma? Samsungov pametni hladnjak Just Got Pwned. Kako je s ostatkom vašeg pametnog doma? Britanska infosc firma Pen Test Parters otkrila je ranjivost Samsungovog pametnog frižidera. Samsungova implementacija SSL šifriranja ne provjerava valjanost certifikata. .
Ili, kao što je napisao istraživački tim Sveučilišta u Michiganu:
“Pametni kućni uređaji i pridružene programske platforme nastavit će se širiti i ostat će privlačni potrošačima jer pružaju snažne funkcionalnosti. Međutim, nalazi u ovom radu sugeriraju da je i oprez utemeljen - na ranom usvajanju i na strani dizajnera okvira. Rizici su značajni i malo je vjerojatno da će ih se jednostavno riješiti jednostavnim sigurnosnim zakrpama.”
Nema potrebe za panikom. Samsung je već započeo s rješavanjem nekih glavnih problema istaknutih u radu, iako će trebati neko vrijeme da se SmartThings okvir uistinu doista osigura pametnom kućnom platformom. Koji Smart Hub za automatizaciju kuće je najbolji za vas? Koji Smart Hub za kućnu automatizaciju je najbolji za vas? Jedno vrijeme su ljudi tu ideju smatrali tek kao trik, ali nedavna izdanja proizvoda pokazala su da automatizacija pametnih kuća počinje ispunjavati svoja obećanja.. .
Koristite li SmartThings? Hoćete li razmotriti prelazak na drugi okvir? Javite nam u nastavku!
Kreditna slika: Alexander Kirch preko Shutterstocka