Forskere ved
University of Michigan mandag kunngjorde at de hadde avdekket en rekke sårbarheter i Samsung
SmartThings hjemme automasjon system som i hovedsak kunne ha tillatt at hackere kan ta kontroll av ulike funksjoner og bryte seg inn i brukerens hjem.
Forskerne, som arbeider med Microsoft i det som kan bli den første omfattende studie av en Internet of Things søknad for hjem, gjorde en sikkerhetsanalyse av systemet.
De var i stand til å utføre fire proof-of-concept angrep som tillot dem adgang til hjemmet eller evnen til å ta over forskjellige funksjoner:
En lock-plukke malware app, forkledd som en batteri-nivå skjermen, kan tyvlytte på en bruker angi en ny PIN-kode for en dørlås og sendt PIN-koden til en potensiell hacker via tekstmelding.
En SmartApp kunne utnyttes eksternt for å gjøre en ekstra dør-tasten ved å programmere en ekstra nøkkelen til en elektronisk lås.
En SmartApp kunne slå av ferie-modus, som lar brukerne program tidspunktet for innendørs belysning, persienner og andre funksjoner for å bidra til å sikre et hjem mens beboerne er borte-i en annen app.
Ved å sende falske meldinger gjennom en SmartApp, forskerne var i stand til å gjøre en brann alarmen går av.
Mye Brukt
Forskerne testet SmartThings på grunn av sitt brede bruk. Det Android app for systemet har blitt lastet ned mer enn 100.000 ganger. Den SmartThings app store, som er der tredjeparts utviklere skrive programmer i skyen for systemet, har mer enn 500 apps.
Plattformen hadde en sårbarhet som kalles “overprivilege”, som egentlig betyr den SmartApps tillatt mer tilgang til enheter enn opprinnelig tenkt, og de enheter som kan gjøres for å gjøre ting som de ikke var programmert til å gjøre opprinnelig forskning viste.
Utviklerne ga flere muligheter til 40 prosent av de nesten 500 apps testet og feil distribuert Email pålitelighetskontrollmetode, forskerne sa. Når kombinert med overflødig privilegium bygget inn i systemet, feil kunne gjøre det mulig for angripere å programmere sine egne PIN-koden inn i systemet, og skaper en ekstra nøkkel til å angripe systemet.
I tillegg, noe som kalles “event delsystemet” — strøm av meldinger enheter generere så de blir programmert — var usikre, forskerne sa.
De varslet Samsung av problemet i fjor, og har jobbet sammen for å patch sårbarheter.
“Å beskytte våre kunders privatliv og data er grunnleggende for alt vi gjør på SmartThings,” sa Alex Hawkinson, administrerende DIREKTØR i SmartThings.
Selskapet regelmessig utfører sikkerhetskontroll av systemet sitt og engasjerer med eksterne eksperter til å holde seg i front av sårbarheter, sa han.
Skade-Kontroll
Den SmartThings team har jobbet med forskere i løpet av de siste ukene på sårbarheter og har utgitt en rekke oppdateringer for å beskytte seg mot eventuelle sikkerhetsbrudd før de skjer, Hawkinson sa.
Ingen av de sikkerhetsproblemene som er beskrevet i rapporten har påvirket kunder så langt, la han til.
De sårbarheter som først og fremst er avhengig av to scenarier: installasjon av en ondsinnet SmartApp og unnlatelse av tredjeparts utviklere å følge SmartThings retningslinjer på hvordan de skal holde sin kode sikker, ifølge selskapet.
Som en åpen plattform med en voksende og aktivt fellesskap av utviklere, SmartThings gir detaljerte retningslinjer for hvordan å holde all kode sikker og avgjøre hva som er en pålitelig kilde, for selskapet sa. Koden som er lastet ned fra en usikker kilde kan utgjøre en potensiell risiko.
Selskapet har oppdatert sin dokumentert beste praksis for å gi bedre sikkerhet veiledning til utviklerne, er det sagt.
Utvikling Svakheter
Uten å kjenne detaljene i utviklingen, er det umulig å vite hvordan den sårbarheten som ble igjen utsatt, sier Christopher Budd, global trussel communications manager for Trend Micro.
Generelt er slike sårbarheter punkt til problemer i utviklingsprosessen, spesielt rundt prioritering av sikkerhet i prosessen, fortalte han TechNewsWorld.
“Dette er en bred og felles klasse av problemer, ikke bare i IoT enheter, men desktop-applikasjoner og mobile apps så vel,” Budd sa.
Papiret er planlagt å bli presentert senere denne måneden på IEEE Symposium om Sikkerhet og Personvern i San Jose, California.
