Forskere ved
University of Michigan på mandag meddelte, at de havde afsløret en række svagheder i Samsung
SmartThings home automation system, der i det væsentlige kunne have lov hackere at tage kontrol over forskellige funktioner og bryde ind i brugerens hjem.
De forskere, der arbejder med Microsoft i hvad der kan være den første omfattende undersøgelse af en Internet af Ting program for hjemmet, har en sikkerhed analyse af systemet.
De var i stand til at udføre fire proof-of-concept-angreb, der gav dem adgang til hjemmet eller evnen til at tage over forskellige funktioner:
En lock-vælge malware app, forklædt som en batteri-niveau overvåge, kunne aflytte en bruger at fastsætte en ny PIN-kode for en dør lås og sendt PIN-koden til en potentiel hacker via sms.
En SmartApp kan udnyttes på afstand til at gøre en ekstra dør nøgle, ved at programmere en ekstra nøgle i en elektronisk lås.
En SmartApp kunne slukke ferie mode — som lader brugere program timingen af indendørs lys, persienner og andre funktioner til at hjælpe med at sikre et hjem, mens beboerne er væk-i en anden app.
Ved at sende falske meddelelser via en SmartApp, var forskerne i stand til at gøre en brand alarm gå i gang.
Meget Udbredt
Forskerne testede SmartThings grund af sin omfattende brug. Android app til systemet er blevet downloadet mere end 100.000 gange. Den SmartThings app store, som er der, hvor tredje-parts-udviklere skrive apps i skyen for systemet, har mere end 500 apps.
Den platform, havde en sårbarhed, der kaldes “overprivilege,” hvilket betyder, at den SmartApps have mere adgang til de enheder, end det oprindeligt var tiltænkt, og de enheder, der kunne være lavet for at gøre ting, som de ikke var programmeret til at gøre oprindeligt, undersøgelsen viste.
Udviklerne gav yderligere kapaciteter til 40 procent af de næsten 500 apps testet og forkert indsat OAuth godkendelsesmetode, siger forskerne. Når det kombineres med den overskydende privilegium, der er indbygget i systemet, de mangler, der kunne gøre det muligt for angribere at programmere deres egen PIN-kode i systemet, at skabe en ekstra nøgle til at angribe systemet.
Derudover, noget, der hedder “event delsystem” — den strøm af beskeder enheder generere så de bliver programmeret — var usikker, siger forskerne.
De anmeldte Samsung af problemet sidste år, og har arbejdet sammen for at lappe sårbarheder.
“At beskytte vores kunders personlige oplysninger og data, der er grundlæggende for alt, hvad vi gør ved SmartThings,” sagde Alex Hawkinson, administrerende DIREKTØR for SmartThings.
Virksomheden regelmæssigt udfører sikkerhedstjek af sit system og kan relatere til tredjepart eksperter til at opholde sig i front af sårbarheder, sagde han.
Damage Control
Den SmartThings team har arbejdet med de forskere, der gennem de seneste mange uger på sårbarheder, og har udsendt en række opdateringer for at beskytte mod potentielle sårbarheder, før de sker, Hawkinson sagde.
Ingen af de sårbarheder, der er beskrevet i rapporten, har påvirket kunder så langt, tilføjede han.
De sårbarheder, der primært er afhængig af to scenarier: installation af en ondsindet SmartApp og svigt af tredje-parts udviklere at følge SmartThings retningslinjer for, hvordan de holder deres kode sikre, ifølge virksomheden.
Som en åben platform med en voksende og aktivt community af udviklere, SmartThings indeholder detaljerede retningslinjer for, hvordan at holde al kode, sikker og bestemme, hvad der er en pålidelig kilde, siger virksomheden. Kode, downloadet fra en upålidelig kilde, der kan udgøre en potentiel risiko.
Selskabet har opdateret sin dokumenterede bedste praksis for at give bedre sikkerhed vejledning til udviklere, det sagde.
Udvikling Mangler
Uden at kende detaljerne i den udvikling, er det umuligt at vide, hvordan sårbarheden blev efterladt udsat for, sagde Christopher Budd, global trussel, communications manager for Trend Micro.
Generelt, disse sårbarheder pege på problemer i udviklingsprocessen, særligt omkring prioritering af sikkerhed i den proces, han fortalte TechNewsWorld.
“Det er en bred og fælles klasse af problemer ikke bare i IoT-enheder, men desktop applikationer og mobile apps så godt,” Budd sagde.
Det papir, der er planlagt til at blive præsenteret senere i denne måned på IEEE Symposium om Sikkerhed og Privatlivets fred i San Jose, Californien.
