Οι ερευνητές της ασφάλειας στο Πανεπιστήμιο του Μίτσιγκαν έχουν αποκαλύψει μια σειρά σχεδιαστικών ατελειών στην πλατφόρμα SmartThings της Samsung. Τα ελαττώματα ενδέχεται να υπονομεύσουν την ασφάλεια οποιουδήποτε έξυπνου οικιακού εξοπλισμού που χρησιμοποιεί το οικοσύστημα SmartThings 3 τρόποι για να προστατεύσετε την οικογένειά σας και το σπίτι σας με την παρουσία SmartThings 3 τρόποι για να προστατεύσετε την οικογένειά σας και το σπίτι σας με την παρουσία SmartThings Θέλετε να χρησιμοποιήσετε τεχνολογία για να κρατήσετε το πλησιέστερο και αγαπητό σας ασφαλή; Ελέγξτε τι μπορεί να κάνει μια Παρουσία SmartThings για να παρακολουθείτε προσεκτικά το σπίτι σας. Διαβάστε περισσότερα, επιτρέποντας σε κακόβουλες εφαρμογές να ξεκλειδώσετε τις πόρτες, να απενεργοποιήσετε εσφαλμένα τους συναγερμούς, να ορίσετε τους κωδικούς πρόσβασης για το σπίτι, να ξυπνήσετε τις συσκευές από τη λειτουργία διακοπών και μια σειρά άλλων φορέων επίθεσης.
Σε μια ελαφρώς μειωτική χάρη, μια από τις επιθέσεις εξαρτάται από το χρήστη να κατεβάζει μια κακόβουλη εφαρμογή από το κατάστημα SmartThings ή ακολουθώντας έναν κακόβουλο σύνδεσμο. Μόλις ληφθεί η κακόβουλη εφαρμογή, ένας εισβολέας θα μπορούσε να διεξάγει αποτελεσματικά μια απομακρυσμένη επίθεση από οπουδήποτε στον κόσμο.
Είναι κατανοητό ότι η Samsung έχει αμυντική στάση όσον αφορά τα κρίσιμα ζητήματα ασφαλείας, υποστηρίζοντας ότι λειτουργεί με πλήρη γνώση των προβλημάτων και ότι απομακρύνονται ενεργά.
Είναι αρκετά καλό; Ή θα πρέπει η Samsung, μια πολυεθνική εταιρία τεχνολογίας, να διερευνά ενεργά γιατί τα προϊόντα της φαινομενικά μεταφέρονται με σφάλματα ασφαλείας; Ας ΡΙΞΟΥΜΕ μια ΜΑΤΙΑ.
Πολλαπλές ευπάθειες
Οι ερευνητές της Ασφάλειας στο Πανεπιστήμιο του Μίτσιγκαν επινόησαν πολλά υποδείγματα αποδείξεων σχετικά με την αντίληψη που επικεντρώνονται στην έκθεση ενδεχόμενων προβλημάτων στο οικοσύστημα της Samsung SmartThings. Ως ένας από τους μεγαλύτερους κατασκευαστές συσκευών IoT Ready (συμπεριλαμβανομένων των ψυγείων, των θερμοστατών, των φούρνων, των θυρών ασφαλείας, των κλειδαριών, των πάνελ, των αισθητήρων κ.λπ.), δεν θα εκπλαγείτε από το γεγονός ότι τα διαπιστευτήρια ασφαλείας τους ελέγχονται .
Οι ερευνητές επιβεβαίωσαν ότι τα ελαττώματα προκλήθηκαν από δύο εγγενείς ελλείψεις σχεδιασμού στο οικοσύστημα SmartThings. Επιπλέον, οι δύο εσωτερικές ελλείψεις στο σχεδιασμό δεν είναι απαραίτητα εύκολο να διορθωθούν.
Τα ζητήματα αφορούν τον τρόπο με τον οποίο οι εφαρμογές ελέγχου έξυπνης οικιακής χρήσης από τρίτους εφαρμόζουν το πρωτόκολλο εξουσιοδότησης OAuth . Οι ερευνητές ανακάλυψαν μια μη συμμορφούμενη εφαρμογή και κατάφεραν να δημιουργήσουν μια ολόκληρη επίθεση βασισμένη στο ελάττωμα, αποστέλλοντας ένα μόνο σύνδεσμο στην πραγματική σελίδα σύνδεσης SmartThings, αλλά ταυτόχρονα να κλέβουν το διακριτικό σύνδεσης χρήστη του χρήστη. Με τα ζεύγη στο χέρι, ένας εισβολέας θα μπορούσε να δημιουργήσει το δικό του PIN για μια έξυπνη κλειδαριά, ενώ ο χρήστης θα παραμείνει απενεργοποιημένος. 4 Αληθινά δροσερές χρήσεις για SmartThings Ανοιχτοί κλειστοί αισθητήρες 4 Πραγματικά δροσερές χρήσεις για SmartThings Ανοιχτοί κλειστοί αισθητήρες Ο ανοικτός / κλειστός αισθητήρας προορίζεται παρακολουθεί τις πόρτες και τις πύλες, αλλά με κάποια δημιουργικότητα μπορεί να κάνει πολύ περισσότερα. Ακολουθούν ιδέες για να χρησιμοποιήσετε τη συσκευή για να κάνετε το σπίτι σας λίγο πιο έξυπνο. Διαβάστε περισσότερα .
Μια άλλη εκμετάλλευση περιελάμβανε την εκμετάλλευση μιας ευπάθειας για να απενεργοποιηθεί η λειτουργία "διακοπών", επιδεικνύοντας πρόσβαση σε δικαιώματα υψηλού επιπέδου. Μόλις δοθεί πρόσβαση σε "τρόπο λειτουργίας διακοπών" σε έναν εισβολέα, μπορούν να μετριάσουν τυχόν προ-προγραμματισμένες λειτουργίες άμυνας κατά την παραμονή, όπως τυχαία ποδηλασία φώτων σε όλο το σπίτι ή ανοιγόμενα και κλείνοντας περσίδες για προσομοίωση κατοχής κατοικίας.
Αυτό οδηγεί στη δεύτερη όψη του ζητήματος ασφαλείας SmartThings. Οι περισσότερες από τις εφαρμογές που εκμεταλλεύονται οι ερευνητές δεν πρέπει να ξεκινούν με αυτό το επίπεδο λειτουργικού προνομίου. Οι ερευνητές της ασφάλειας δημιούργησαν το κατάστημα SmartThings που περιέχει πάνω από 500 μεμονωμένες εφαρμογές Εδώ είναι πώς η νέα εφαρμογή SmartThings είναι ένα σημαντικό βήμα προς τα πίσω Εδώ είναι πώς η νέα εφαρμογή SmartThings αποτελεί ένα σημαντικό βήμα προς τα πίσω Μια πρόσφατη ενημέρωση της εφαρμογής SmartThings αποδεικνύει ότι η εταιρεία μπορεί να αλλάζει πορεία. Αυτό το είδος τεχνολογίας σίγουρα αλλάζει, αλλά μένει να δούμε αν αυτό είναι καλύτερο ή χειρότερο. Διαβάστε περισσότερα προσφέροντας κάποιο βαθμό ελέγχου ή αυτοματοποίησης του σπιτιού σας. Στη συνέχεια, διαπιστώθηκε ότι πάνω από το 40% αυτών των εφαρμογών χορηγούν πάρα πολλά προνόμια για την μερικές φορές απλή δουλειά που είχαν σχεδιαστεί να κάνουν.
Αυτές οι εφαρμογές "υπερπαραχώρησης" δημιουργούν ένα σημαντικό ζήτημα ασφαλείας, αν και συχνά δεν είναι εξ ολοκλήρου βλάβη του σχεδιαστή. Ο Atul Prakash, καθηγητής της επιστήμης υπολογιστών και της μηχανικής του Πανεπιστημίου του Michigan, το εξήγησε έτσι:
"Οι επιχορηγήσεις πρόσβασης SmartThings από προεπιλογή είναι σε επίπεδο πλήρους συσκευής και όχι πιο στενές. Ως αναλογία, λέτε ότι δίνετε σε κάποιον την άδεια να αλλάξει τον λαμπτήρα στο γραφείο σας, αλλά το άτομο καταλήγει επίσης να έχει πρόσβαση σε ολόκληρο το γραφείο σας, συμπεριλαμβανομένου του περιεχομένου των αρχειοθηκών σας ».
Η ανταπόκριση της Samsung
Όπως θα περιμένατε, η Samsung προστατεύει τα συμφέροντα του Διαδικτύου των Πραγμάτων. Η δήλωση SmartThings έχει ως εξής:
"Η προστασία της ιδιωτικότητας και της ασφάλειας των δεδομένων των πελατών μας είναι θεμελιώδης για ό, τι κάνουμε στο SmartThings. Γνωρίζουμε πλήρως την έκθεση του Πανεπιστημίου του Μίσιγκαν / Microsoft και εργαζόμαστε με τους συντάκτες της έκθεσης για τις τελευταίες εβδομάδες σχετικά με τρόπους με τους οποίους μπορούμε να συνεχίσουμε να κάνουμε το έξυπνο σπίτι πιο ασφαλή όσο μεγαλώνει η βιομηχανία.
Οι πιθανές ευπάθειες που αποκαλύπτονται στην αναφορά εξαρτώνται κατά κύριο λόγο από δύο σενάρια - την εγκατάσταση ενός κακόβουλου SmartApp ή την αποτυχία τρίτων προγραμματιστών να ακολουθήσουν τις οδηγίες SmartThings σχετικά με το πώς θα διατηρήσουν τον κώδικα τους ασφαλή.
Όσον αφορά τις κακόβουλες λειτουργίες SmartApps που περιγράφονται, αυτές δεν έχουν και δεν θα επηρεάσουν ποτέ τους πελάτες μας εξαιτίας των διαδικασιών πιστοποίησης και ανασκόπησης κώδικα SmartThings έχει εγκαταστήσει για να διασφαλίσει ότι τα κακόβουλα SmartApps δεν εγκρίνονται για δημοσίευση. Για να βελτιώσουμε περαιτέρω τις διαδικασίες έγκρισης SmartApp και να διασφαλίσουμε ότι οι ενδεχόμενες ευπάθειες που περιγράφονται δεν συνεχίζουν να επηρεάζουν τους πελάτες μας, έχουμε προσθέσει επιπλέον απαιτήσεις ανασκόπησης ασφάλειας για τη δημοσίευση οποιουδήποτε SmartApp.
Ως ανοιχτή πλατφόρμα με μια αναπτυσσόμενη και ενεργή κοινότητα προγραμματιστών, το SmartThings παρέχει λεπτομερείς οδηγίες σχετικά με τον τρόπο με τον οποίο μπορείτε να διατηρήσετε όλο τον κώδικα ασφαλή και να καθορίσετε τι είναι μια αξιόπιστη πηγή. Εάν ένας κώδικας λαμβάνεται από μια μη αξιόπιστη πηγή, αυτό μπορεί να παρουσιάσει έναν πιθανό κίνδυνο ακριβώς όπως όταν ένας χρήστης PC εγκαθιστά λογισμικό από έναν άγνωστο ιστότοπο τρίτου μέρους, υπάρχει κίνδυνος το λογισμικό να περιέχει κακόβουλο κώδικα. Μετά από αυτήν την έκθεση, ενημερώσαμε τις τεκμηριωμένες βέλτιστες πρακτικές μας για να παρέχουμε ακόμα καλύτερες οδηγίες ασφάλειας στους προγραμματιστές. "
Δεν είναι η πρώτη φορά που η Samsung έχει έρθει σε θέματα ασφάλειας του Διαδικτύου, ούτε αποτελεί πρόβλημα που απομονώνεται σε οποιαδήποτε εταιρεία τεχνολογίας. Οι συσκευές IoT αποτελούσαν σταθερά την πηγή των προβλημάτων ασφάλειας και η πλειονότητα των χρηστών που ερευνούν νέες, έτοιμες στο Διαδίκτυο, δικτυακές συσκευές δεν κατανοούν πλήρως τη σοβαρότητα του τι κάνουν. Γιατί το Διαδίκτυο των πραγμάτων είναι ο μεγαλύτερος εφιάλτης ασφάλειας Γιατί το διαδίκτυο Τα πράγματα είναι ο μεγαλύτερος εφιάλτης ασφάλειας Μια μέρα, φτάνετε στο σπίτι από τη δουλειά για να ανακαλύψετε ότι έχει παραβιαστεί το οικιακό σύστημα ασφαλείας που έχει ενεργοποιηθεί με σύννεφο. Πώς θα μπορούσε να συμβεί αυτό; Με το Διαδίκτυο των πραγμάτων (IoT), θα μπορούσατε να μάθετε τον σκληρό τρόπο. Διαβάστε περισσότερα .
Μικρή μελέτη SmartApp
Η ερευνητική ομάδα ολοκλήρωσε μάλιστα μια εξαιρετικά μικρή μελέτη των ανθρώπων που χρησιμοποιούν το SmartApps, επιδεικνύοντας την προσοχή τους στις άδειες που χορηγούν.
Εντυπωσιακά, 20 από τους 22 ερωτηθέντες θα επιτρέψουν σε μια εφαρμογή παρακολούθησης μπαταρίας να ελέγξει την κατάσταση των έξυπνων κλειδαριών που έχουν εγκατασταθεί στις εγκαταστάσεις τους, με την προϋπόθεση ότι η εφαρμογή θα στείλει τους κωδικούς πρόσβασης πόρτας σε έναν απομακρυσμένο διακομιστή. Μπορεί να είναι μια περίπτωση των χρηστών που δεν επιδεικνύουν τη δέουσα επιμέλεια για προσωπική ασφάλεια, περισσότερο όταν πρόκειται για πιθανότητα σοβαρής απώλειας ή, στην χειρότερη περίπτωση, για προσωπικό κίνδυνο.
Αλλά εξίσου, και εδώ μιλάω με τους χρήστες, ένα σημαντικό ζήτημα είναι ότι οι εταιρείες που εγκαθιστούν και εφαρμόζουν έξυπνα συστήματα σε όλες τις ιδιωτικές κατοικίες και επιχειρήσεις δεν προσφέρουν επαρκή εκπαιδευτική υποστήριξη στους χρήστες 7 Λόγοι για τους οποίους το Διαδίκτυο των πραγμάτων θα πρέπει να σας περιφρονεί 7 Λόγοι Γιατί το Διαδίκτυο των πραγμάτων πρέπει να σας φοβίσει Τα πιθανά οφέλη από το Διαδίκτυο των Πράξεων γίνονται φωτεινά, ενώ οι κίνδυνοι χυτεύονται στις ήσυχες σκιές. Ήρθε η ώρα να επιστήσουμε την προσοχή σε αυτούς τους κινδύνους με επτά τρομακτικές υποσχέσεις του IoT. Διαβάστε περισσότερα .
Σίγουρα, ο χρήστης μπορεί να καταλάβει τι μιλάει ο εγκαταστάτης, αλλά έχουν πραγματικά αφομοιώσει το γεγονός ότι ολόκληρο το σπίτι τους είναι συνδεδεμένο σε δίκτυο; Καταλαβαίνουν ότι το ψυγείο τους είναι πλέον συνδεδεμένο 5 Συσκευές που δεν θέλετε να συνδέσετε στο Διαδίκτυο των πραγμάτων 5 Συσκευές που δεν θέλετε να συνδεθείτε στο Internet των πραγμάτων Το Ίντερνετ των πραγμάτων (IoT) μπορεί να μην είναι ό, τι είναι ραγισμένο είναι. Στην πραγματικότητα, υπάρχουν κάποιες έξυπνες συσκευές που μπορεί να μην θέλετε να συνδεθείτε στο διαδίκτυο καθόλου. Διαβάστε περισσότερα και ότι το ψυγείο τους είναι πλέον ανοικτό στις ίδιες ευπάθειες με το tablet τους; Επειδή μπορείτε να στοιχηματίσετε το χαμηλότερο δολάριο, ο χρήστης θα είναι πολύ πιο ενημερωμένος με τα τρωτά σημεία του tablet παρά με μια κάπως αθέμιτη απειλή για το περιεχόμενο του ψυγείου Smart Fridge της Samsung. Πώς για το υπόλοιπο Smart Home σας; Το Smart Ψυγείο της Samsung έχει μόλις βγει. Πώς για το υπόλοιπο Smart Home σας; Ένα τρωτό σημείο με το έξυπνο ψυγείο της Samsung ανακαλύφθηκε από την εταιρία Infosec, με έδρα το Ηνωμένο Βασίλειο, για την εφαρμογή Pen Test Parters. Η εφαρμογή της κρυπτογράφησης SSL από τη Samsung δεν ελέγχει την εγκυρότητα των πιστοποιητικών. Διαβάστε περισσότερα .
Ή, όπως έγραψε η ερευνητική ομάδα του Πανεπιστημίου του Μίσιγκαν:
"Οι έξυπνες οικιακές συσκευές και οι σχετικές πλατφόρμες προγραμματισμού τους θα συνεχίσουν να πολλαπλασιάζονται και θα παραμείνουν ελκυστικές για τους καταναλωτές επειδή παρέχουν ισχυρή λειτουργικότητα. Ωστόσο, τα ευρήματα σε αυτό το έγγραφο υποδηλώνουν ότι απαιτείται επίσης προσοχή - από μέρους των πρώτων υιοθετώντων και από τους σχεδιαστές πλαισίων. Οι κίνδυνοι είναι σημαντικοί και είναι απίθανο να αντιμετωπιστούν εύκολα μέσω απλών ενημερωμένων επιδιορθώσεων ασφαλείας. "
Δεν υπάρχει λόγος πανικού. Η Samsung έχει ήδη ξεκινήσει να ασχολείται με μερικά από τα βασικά ζητήματα που επισημάνθηκαν στο έγγραφο, αν και θα χρειαστεί λίγος χρόνος για να διασφαλιστεί ότι το πλαίσιο SmartThings είναι πραγματικά μια πραγματικά ασφαλής έξυπνη πλατφόρμα σπίτι. Ποιο Smart Hub για οικιακή αυτοματοποίηση είναι καλύτερο για εσάς; Ποιο Smart Hub για οικιακό αυτοματισμό είναι το καλύτερο για εσάς; Για μια στιγμή, οι άνθρωποι σκέφτηκαν την ιδέα ως τίποτα περισσότερο από ένα τέχνασμα, αλλά πρόσφατες κυκλοφορίες προϊόντων έδειξαν ότι ο έξυπνος αυτοματισμός στο σπίτι αρχίζει να ανταποκρίνεται στις υποσχέσεις του. Διαβάστε περισσότερα .
Χρησιμοποιείτε SmartThings; Θα εξετάσετε τη μετάβαση σε διαφορετικό πλαίσιο; Ενημερώστε μας παρακάτω!
Image Credit: Alexander Kirch μέσω του Shutterstock