Samsung SmartThings-Sicherheitslücke Was Sie wissen müssen

Sicherheitsforscher an der University of Michigan haben eine Reihe von Designfehlern in der SmartThings-Plattform von Samsung entdeckt. Die Fehler untergraben möglicherweise die Sicherheit aller Smart Home-Setups mit dem SmartThings-Ökosystem. 3 Möglichkeiten, Ihre Familie und Ihr Zuhause mit SmartThings-Präsenz zu schützen 3 Möglichkeiten, Ihre Familie und Ihr Zuhause mit SmartThings-Präsenz zu schützen Möchten Sie Technologie einsetzen, um Ihre Nächstenliebe sicher zu halten? Finden Sie heraus, was eine SmartThings-Präsenz tun kann, um ein wachsames Auge auf Ihr Zuhause zu haben. Lesen Sie mehr, damit böswillige Anwendungen Türen freischalten können, falsch Alarme ausgelöst, Zugangscodes für Privatanschlüsse festgelegt, Geräte aus dem Urlaubsmodus geweckt werden können und eine Vielzahl anderer Angriffsvektoren.

In gewisser Weise ist eine der Attacken davon abhängig, dass der Benutzer eine schädliche App aus dem SmartThings-Store herunterlädt oder einem schädlichen Link folgt. Sobald die bösartige App heruntergeladen ist, kann ein Angreifer von überall auf der Welt einen Fernangriff durchführen.

Verständlicherweise hat Samsung die kritischen Sicherheitsprobleme defensiv beurteilt und behauptet, dass es in vollem Umfang über die Probleme informiert ist und aktiv beseitigt wird.

Ist das gut genug? Oder sollte Samsung, ein multinationales Technologieunternehmen, aktiv untersuchen, warum seine Produkte scheinbar mit Sicherheitsfehlern belastet werden? Lass uns einen Blick darauf werfen.

Mehrere Sicherheitslücken

Sicherheitsforscher an der University of Michigan entwickelten mehrere Proof-of-Concept-Exploits, die darauf ausgerichtet waren, potenzielle Fehler im Samsung SmartThings-Ökosystem aufzudecken. Als einer der größten Hersteller von IoT-fähigen Geräten (Internet of Things), einschließlich Kühlschränken, Thermostaten, Öfen, Sicherheitstüren, Schlössern, Paneelen, Sensoren und vielem mehr, wird es nicht überraschen, dass ihre Sicherheitsnachweise unter die Lupe genommen werden.

Die Forscher bestätigten, dass die Fehler durch zwei intrinsische Konstruktionsfehler im SmartThings-Ökosystem verursacht wurden. Darüber hinaus sind die beiden intrinsischen Designfehler nicht unbedingt einfach zu beheben.

Die Probleme beziehen sich darauf, wie Smart Home Control-Anwendungen von Drittanbietern das Berechtigungsprotokoll implementieren OAuth. Die Forscher entdeckten eine nicht kompatible Anwendung und waren in der Lage, einen kompletten Angriff basierend auf dem Fehler zu erstellen, indem sie einen einzelnen Link auf die eigentliche SmartThings-Anmeldeseite schickten, gleichzeitig jedoch das Anmelde-Token des Benutzers stahlen. Mit den Tokens in der Hand könnte ein Angreifer eine eigene PIN für ein intelligentes Schloss erstellen, während der Benutzer nicht überrascht wird. 4 Wirklich kühle Anwendungen für SmartThings Geöffnete geschlossene Sensoren 4 Wirklich kühle Anwendungen für SmartThings Geöffnete geschlossene Sensoren Der Open / Closed-Sensor ist dazu gedacht Türen und Tore überwachen, aber mit etwas Kreativität kann es noch viel mehr. Hier finden Sie Vorschläge, wie Sie mit dem Gerät Ihr Zuhause ein wenig intelligenter machen können. Weiterlesen .

Ein weiterer Exploit beinhaltete die Ausnutzung einer Schwachstelle, um sich zu wenden “Urlaubsmodus” off, um den Zugriff auf übergeordnete Berechtigungen zu demonstrieren. Einmal Zugriff auf “Urlaubsmodus” Einem Angreifer gewährt wird, kann er alle vorprogrammierten Urlaubsverteidigungsmodi abschwächen, wie z. B. das zufällige Fahrradfahren im gesamten Haus oder das Öffnen und Schließen von Jalousien, um einen besetzten Wohnsitz zu simulieren.

Dies führt zur zweiten Facette des Sicherheitsthemas von SmartThings. Die meisten Apps, die von den Forschern genutzt werden, sollten zunächst nicht über diese Betriebsberechtigung verfügen. Die Sicherheitsforscher haben festgestellt, dass der SmartThings-Store über 500 Einzelanwendungen enthält. Hier ist, wie die neue SmartThings-App einen großen Schritt zurück darstellt. So ist die neue SmartThings-App ein bedeutender Schritt zurück. Diese Art von Technologie verändert sich sicherlich, aber es bleibt abzuwarten, ob dies zum Besseren oder Schlechteren ist. Lesen Sie mehr und bieten Sie ein gewisses Maß an Kontrolle oder Automatisierung Ihres Hauses. Sie fanden dann heraus, dass über 40% dieser Apps zu viele Privilegien für die manchmal einfache Arbeit gewährten, für die sie entwickelt wurden.

Diese “Überprivileg” Apps stellen ein erhebliches Sicherheitsproblem dar, obwohl der Designer häufig nicht ganz dafür verantwortlich ist. Atul Prakash, Professor für Informatik und Ingenieurwissenschaften an der University of Michigan, erklärte es so:

“Der Zugriff, den SmartThings gewährt, ist standardmäßig auf vollständiger Geräteebene und nicht enger. Als eine Analogie sagen Sie, Sie geben jemandem die Erlaubnis, die Glühbirne in Ihrem Büro zu wechseln, aber die Person erhält auch Zugang zu Ihrem gesamten Büro, einschließlich des Inhalts Ihrer Aktenschränke.”

Die Antwort von Samsung

Wie zu erwarten, hat Samsung über ihre Interessen im Internet der Dinge geschützt. Die SmartThings-Anweisung lautet wie folgt:

“Der Schutz der Privatsphäre und der Datensicherheit unserer Kunden ist für alles, was wir bei SmartThings tun, von grundlegender Bedeutung. Wir sind uns des Berichts der University of Michigan / Microsoft Research vollständig bewusst und arbeiten seit einigen Wochen mit den Autoren des Berichts daran, wie wir das Smart Home mit wachsender Industrie weiterhin sicherer machen können.

Die im Bericht offenbarten potenziellen Sicherheitsanfälligkeiten hängen in erster Linie von zwei Szenarien ab: der Installation einer schädlichen SmartApp oder der Nichteinhaltung der SmartThings-Richtlinien durch Drittanbieter, um ihren Code zu schützen.

In Bezug auf die beschriebenen bösartigen SmartApps haben diese aufgrund der von SmartThings eingesetzten Zertifizierungs- und Codeüberprüfungsverfahren keine Auswirkungen auf unsere Kunden, um sicherzustellen, dass bösartige SmartApps nicht zur Veröffentlichung freigegeben werden. Um unsere SmartApp-Genehmigungsprozesse weiter zu verbessern und um sicherzustellen, dass die beschriebenen potenziellen Schwachstellen weiterhin keine Auswirkungen auf unsere Kunden haben, haben wir zusätzliche Sicherheitsüberprüfungsanforderungen für die Veröffentlichung von SmartApps hinzugefügt.

Als offene Plattform mit einer wachsenden und aktiven Entwicklergemeinschaft bietet SmartThings detaillierte Richtlinien, wie Sie den gesamten Code schützen und bestimmen können, welche Quelle vertrauenswürdig ist. Wenn Code von einer nicht vertrauenswürdigen Quelle heruntergeladen wird, kann dies ein potenzielles Risiko darstellen, genau wie wenn ein PC-Benutzer Software von einer fremden Website eines Drittanbieters installiert. Es besteht die Gefahr, dass Software schädlichen Code enthält. Im Anschluss an diesen Bericht haben wir unsere dokumentierten Best Practices aktualisiert, um Entwicklern eine noch bessere Sicherheitsanleitung zu bieten.”

Es ist nicht das erste Mal, dass Samsung auf IoT-Sicherheitsprobleme gestoßen ist, noch ist es ein Problem, das von einem einzelnen Technologieunternehmen isoliert wird. IoT-Geräte waren immer wieder die Ursache für Sicherheitsprobleme, und die Mehrheit der Benutzer, die neue, internetfähige, vernetzte Geräte erkunden, können den Schweregrad ihrer Aktivitäten nicht vollständig verstehen. Warum ist das Internet der Dinge der größte Sicherheits-Albtraum? Der größte Albtraum für die Sicherheit Eines Tages kommen Sie von der Arbeit nach Hause und stellen fest, dass Ihr Cloud-fähiges Haussicherungssystem durchbrochen wurde. Wie konnte das passieren? Mit Internet of Things (IoT) können Sie den harten Weg herausfinden. Weiterlesen .

Kleine SmartApp-Studie

Das Forschungsteam führte sogar eine zugegebenermaßen äußerst kleine Studie über Personen durch, die SmartApps verwendeten, und richtete ihre Aufmerksamkeit auf die Berechtigungen, die sie erteilten.

Erschütternd würden 20 der 22 befragten Personen eine Batterieüberwachungs-App den Status der in ihrem Gebäude installierten intelligenten Schlösser überprüfen lassen. Auf der Prämisse würde die App Türzugangscodes an einen Remote-Server senden. Es kann vorkommen, dass Benutzer nicht mit gebührender Sorgfalt zur persönlichen Sicherheit verpflichtet sind. Dies gilt insbesondere für den Fall eines ernsthaften Verlusts oder im schlimmsten Fall einer persönlichen Gefahr.

Gleichermaßen, und dies ist der Punkt, an dem ich mich mit den Benutzern befürchte. Ein Hauptproblem ist, dass die Unternehmen, die intelligente Systeme in Privathäusern und Unternehmen installieren und implementieren, nicht genug Unterstützung für die Benutzer anbieten. 7 Gründe, warum das Internet der Dinge Sie erschrecken sollte 7 Gründe Warum das Internet der Dinge Sie erschrecken sollte Die potenziellen Vorteile des Internets der Dinge werden heller, während die Gefahren in den ruhigen Schatten geworfen werden. Es ist an der Zeit, mit sieben furchterregenden Versprechen des IoT auf diese Gefahren aufmerksam zu machen. Weiterlesen .

Sicher könnte der Benutzer verstehen Worüber spricht der Installer, aber haben sie wirklich die Tatsache verdaut, dass ihr gesamtes Haus vernetzt ist? Verstehen sie, dass der Kühlschrank jetzt online ist? 5 Geräte, die Sie NICHT mit dem Internet der Dinge verbinden möchten 5 Geräte, die Sie NICHT mit dem Internet der Dinge verbinden möchten Das Internet der Dinge (Internet of Things - IoT) ist möglicherweise nicht alles, worauf es ankommt Sein. In der Tat gibt es einige intelligente Geräte, die Sie überhaupt nicht mit dem Web verbinden möchten. Lesen Sie mehr, und dass der Kühlschrank jetzt den gleichen Schwachstellen ausgesetzt ist wie das Tablet? Da Sie auf Ihren unteren Dollar wetten können, ist der Benutzer mit Tablet-Schwachstellen viel aktueller als mit einer etwas unfassbaren Bedrohung für den Inhalt des Kühlers Samsung Smart Fridge Just Got Pwned. Wie wäre es mit dem Rest Ihres Smart Home? Samsungs intelligenter Kühlschrank hat gerade Pwned. Wie wäre es mit dem Rest Ihres Smart Home? Eine Schwachstelle des intelligenten Kühlschranks von Samsung wurde von Pen Test Parters aus Großbritannien entdeckt. Samsungs Implementierung der SSL-Verschlüsselung prüft nicht die Gültigkeit der Zertifikate. Weiterlesen .

Oder, wie das Forscherteam der University of Michigan schrieb:

“Smart-Home-Geräte und die dazugehörigen Programmierplattformen werden weiter zunehmen und für Verbraucher attraktiv bleiben, da sie über eine leistungsstarke Funktionalität verfügen. Die Ergebnisse in diesem Dokument legen jedoch nahe, dass auch Vorsicht geboten ist - sowohl von Early Adopters als auch von Framework-Designern. Die Risiken sind erheblich und es ist unwahrscheinlich, dass sie mit einfachen Sicherheitspatches leicht angegangen werden können.”

Es besteht keine Notwendigkeit zur Panik. Samsung hat bereits begonnen, einige der in der Zeitung vorgestellten Hauptprobleme zu behandeln. Es wird jedoch einige Zeit dauern, bis das SmartThings-Framework wirklich eine wirklich sichere Smart-Home-Plattform ist. Welcher Smart Hub für Heimautomation eignet sich am besten für Sie? Welcher Smart Hub für Heimautomation ist für Sie am besten? Für eine Weile hielten die Leute die Idee für nichts anderes als eine Spielerei, aber die jüngsten Produktversionen haben gezeigt, dass die intelligente Hausautomation ihren Versprechen entspricht. Weiterlesen .

Verwenden Sie SmartThings? Erwägen Sie den Wechsel zu einem anderen Rahmen? Lass es uns unten wissen!

Bildnachweis: Alexander Kirch via Shutterstock