Samsung smartthings falha de segurança: o que você precisa saber

Video: Samsung SmartThings

Os pesquisadores de segurança da Universidade de Michigan descobriram uma série de falhas de projeto em plataforma SmartThings da Samsung. As falhas potencialmente comprometer a segurança de qualquer setups casa inteligente usando o ecossistema SmartThings, permitindo que aplicativos maliciosos para desbloquear portas, falsamente disparar alarmes, definir os códigos de acesso de casa, serviços de despertar do modo de férias, e uma série de outros vetores de ataque.3 maneiras de proteger sua família e casa com SmartThings Presença3 maneiras de proteger sua família e casa com SmartThings PresençaQuer usar a tecnologia para manter o seu mais próximos e queridos seguro? Confira o que a SmartThings Presença pode fazer para manter um olhar atento sobre a sua casa.consulte Mais informação

Em uma ligeira graça salvadora, um dos ataques depende do usuário fazer o download de um aplicativo malicioso da loja SmartThings, ou seguindo um link malicioso. Uma vez que o aplicativo malicioso é baixado, um invasor pode efetivamente realizar um ataque remoto de qualquer lugar do mundo.

Compreensivelmente, Samsung ter sido defensiva sobre as questões críticas de segurança, alegando que está a funcionar em pleno conhecimento dos problemas e que eles estão sendo removidos ativamente.

que é bom o suficiente? Ou deveria Samsung, empresa de tecnologia multinacional ser ativamente investigando por que os seus produtos são aparentemente o transporte com bugs de segurança? Vamos dar uma olhada.

múltiplas Vulnerabilidades

Os pesquisadores de segurança da Universidade de Michigan desenvolveram vários exploits de prova de conceito focados em expor quaisquer falhas potenciais no ecossistema Samsung SmartThings. Como um dos maiores fabricantes de dispositivos de Internet das coisas Ready (Internet of Things), incluindo frigoríficos, termostatos, fornos, portas de segurança, fechaduras, painéis, sensores e muito mais, ele vai vir como nenhuma surpresa que as suas credenciais de segurança estão sob escrutínio .

Os pesquisadores confirmaram as falhas foram causadas por duas falhas de projeto intrínsecas no ecossistema SmartThings. O que é mais é que as duas falhas de projeto intrínsecas não são necessariamente fáceis de corrigir.

As questões dizem respeito à forma como aplicações de controle de casa inteligente de terceiros implementar o protocolo de autorização OAuth. Os pesquisadores descobriram uma aplicação não conforme, e foram capazes de construir um ataque toda baseada em torno da falha, o envio de um único link para os SmartThings reais página de login, mas roubar símbolo de login do usuário ao mesmo tempo. Com as fichas na mão, um atacante poderia viabilizar criar o seu próprio PIN para uma fechadura inteligente enquanto o usuário ficaria surpresa.4 realmente frescos usos para SmartThings aberto fechado Sensores4 realmente frescos usos para SmartThings aberto fechado SensoresO sensor aberto / fechado se destina a monitorar portas e portões, mas com um pouco de criatividade pode fazer muito mais. Aqui estão algumas idéias para usar o dispositivo para tornar a sua casa um pouco mais esperto.consulte Mais informação

Outra façanha incluído exploração de uma vulnerabilidade para virar “modo de férias” off, demonstrando o acesso a permissões de alto nível. Uma vez que o acesso ao “modo de férias” é concedido a um atacante, que pode mitigar quaisquer modos de defesa de férias pré-programadas, tais como andar de bicicleta aleatoriamente luzes em toda a casa, ou abrir e fechar cortinas para simular uma residência ocupada.

Video: How to Connect the Samsung SmartThings Outlet

Isso leva à segunda faceta do problema de segurança SmartThings. A maioria dos aplicativos exploradas pelos pesquisadores não devem ter esse nível de privilégio operacional para começar. Os pesquisadores de segurança estabelecidos os SmartThings loja contém mais de 500 aplicações individuais oferecendo algum grau de controle ou automação de sua casa. Eles, então, encontrou mais de 40% desses aplicativos conceder demasiados privilégios para o trabalho às vezes simples que eles foram projetados para fazer.Aqui é como o New SmartThings App é um passo principal para trásAqui é como o New SmartThings App é um passo principal para trásUma atualização recente para o aplicativo SmartThings demonstra que a empresa pode estar mudando curso. Este tipo de tecnologia está certamente mudando, mas continua a ser visto se isso é para melhor ou pior.consulte Mais informação

Esses aplicativos “over-privilégio” criar um problema de segurança significativo, embora muitas vezes não é inteiramente culpa do designer. Atul Prakash, professor da Universidade de Michigan da ciência da computação e engenharia explicou assim:

“Os SmartThings concede acesso por padrão está em um nível total do dispositivo, ao invés de qualquer estreita. Como uma analogia, digamos que você dê permissão a alguém para trocar a lâmpada em seu escritório, mas a pessoa também acaba ficando o acesso a todo o seu escritório, incluindo o conteúdo de seus arquivos.”

A Samsung Response

Como seria de esperar, a Samsung ter sido protetora sobre a sua Internet de interesses turísticos. A declaração SmartThings é a seguinte:

Video: SmartThings Home Monitoring Kit

“Proteger a privacidade e segurança dos dados dos nossos clientes é fundamental para tudo o que fazemos na SmartThings. Estamos plenamente conscientes da Universidade de Michigan / relatório do Microsoft Research e têm trabalhado com os autores do relatório para as últimas semanas sobre as formas que podemos continuar a fazer a casa inteligente mais seguro como a indústria cresce.

As vulnerabilidades potenciais divulgados no relatório são principalmente dependentes de dois cenários - a instalação de um SmartApp malicioso ou o fracasso de desenvolvedores de terceiros para acompanhar SmartThings orientações sobre como manter o seu código de segurança.

Em relação aos SmartApps maliciosos descritos, estes não têm e não iria nunca impactar nossos clientes por causa da certificação e revisão de código processa SmartThings tem no local para garantir SmartApps maliciosos não são aprovados para publicação. Para melhorar ainda mais nossos processos de aprovação SmartApp e garantir que as vulnerabilidades potenciais descritos continuam a não afetar os nossos clientes, temos acrescentado requisitos de revisão de segurança adicionais para a publicação de qualquer SmartApp.

Video: Samsung Smartthings security system short video

Como uma plataforma aberta com uma comunidade de desenvolvedores crescente e ativa, SmartThings fornece orientações detalhadas sobre como manter todo o código seguro e determinar o que é uma fonte confiável. Se o código é baixado de uma fonte não confiável, este pode apresentar um risco potencial, tal como quando um usuário de PC instala o software a partir de um site de terceiros desconhecidos, há um risco de que o software pode conter código malicioso. Na sequência deste relatório, atualizamos nossas melhores práticas documentadas para fornecer ainda melhor orientação de segurança para os desenvolvedores “.

Não é a primeira vez Samsung têm correu para as questões de segurança da Internet das coisas, nem é um problema isolado a qualquer empresa de tecnologia única. dispositivos da Internet das coisas têm sido consistentemente a fonte dos problemas de segurança, e uma maioria dos usuários explorar novos, dispositivos de rede, Internet-pronto não compreender totalmente a gravidade do que eles estão fazendo.Por que a Internet das Coisas é a segurança pesadelo MaiorPor que a Internet das Coisas é a segurança pesadelo MaiorUm dia, você chega em casa do trabalho para descobrir que sua casa sistema de segurança habilitados para nuvem foi violada. Como isso pôde acontecer? Com a Internet das Coisas (Internet das coisas), você pode descobrir a maneira dura.consulte Mais informação

Pequeno estudo SmartApp

A equipa de investigação ainda completou um reconhecidamente extremamente pequeno estudo de pessoas que utilizam SmartApps, avaliando a sua atenção para as permissões que foram concessão.

Chocante, 20 das 22 pessoas entrevistadas deixaria um aplicativo de monitoramento de bateria verificar o status de bloqueios inteligentes instalados nas suas instalações, na premissa o aplicativo iria enviar códigos de acesso porta para um servidor remoto. Pode ser um caso de usuários não cometer a sua diligência para a segurança pessoal, ainda mais quando envolve o potencial de perda séria, ou na pior das hipóteses, perigo pessoal.

Mas, igualmente, e isso é onde eu solidarizar com os usuários, um grande problema é que as empresas instalação e implementação de sistemas inteligentes em todo residências particulares e as empresas estão não oferecer apoio educacional suficiente para usuários.7 razões pelas quais a Internet das coisas deve assustá-lo7 razões pelas quais a Internet das coisas deve assustá-loOs potenciais benefícios da Internet das Coisas crescer brilhante, enquanto os perigos são lançados para as sombras tranquilas. É hora de chamar a atenção para estes perigos com sete promessas aterrorizantes da Internet das coisas.consulte Mais informação

Claro, o usuário pode Compreendo o que o instalador está falando, mas eles têm realmente digerido o fato de toda a sua casa está em rede? Será que eles entendem que o seu frigorífico agora está online, e que sua geladeira está agora aberto às mesmas vulnerabilidades como seu tablet? Porque você pode apostar que o dólar baixo, o usuário será muito mais up-to-date com as vulnerabilidades tablet em vez de um pouco intangível ameaça para o conteúdo do chiller.

Ou, como a equipe pesquisador da Universidade de Michigan escreveu:

“Dispositivos de casa inteligente e suas plataformas de programação associados continuarão a proliferar e continuará a ser atraente para os consumidores porque eles fornecem uma poderosa funcionalidade. No entanto, os resultados deste estudo sugerem que a cautela é justificada, bem como - por parte dos early adopters, e por parte de designers quadro. Os riscos são significativos, e eles não são susceptíveis de ser facilmente tratadas através de patches de segurança simples.”

Não há necessidade de pânico. Samsung já começaram a abordar algumas das principais questões destacadas no papel, mas vai demorar algum tempo para garantir os SmartThings quadro é verdadeiramente uma plataforma verdadeiramente seguro casa inteligente.Qual Smart Hub para Domótica é melhor para você?Qual Smart Hub para Domótica é melhor para você?Por um tempo, as pessoas achavam da idéia como nada mais do que um chamariz, mas recentes lançamentos de produtos têm mostrado que a automação residencial inteligente está começando a viver de acordo com suas promessas.consulte Mais informação

Você usa SmartThings? você vai considerar a mudança para um quadro diferente? Deixe-nos saber abaixo!


Artigos relacionados