Pesquisadores de segurança da Universidade de Michigan descobriram uma série de falhas de design na plataforma SmartThings da Samsung. As falhas podem minar a segurança de qualquer configuração doméstica inteligente usando o ecossistema SmartThings 3 maneiras de proteger sua família e sua residência com o SmartThings Presença 3 maneiras de proteger sua família e sua residência com SmartThings Presença Deseja usar a tecnologia para manter seu filho mais próximo e mais seguro? Confira o que uma Presença SmartThings pode fazer para manter um olhar atento sobre sua casa. Leia mais, permitindo que aplicativos maliciosos desbloqueiem portas, disparem falsamente alarmes, definam códigos de acesso doméstico, despertem dispositivos do modo de férias e uma série de outros vetores de ataque.
Em uma ligeira economia, um dos ataques depende do usuário baixar um aplicativo mal-intencionado do armazenamento SmartThings ou de seguir um link mal-intencionado. Depois que o aplicativo malicioso é baixado, um invasor pode realizar um ataque remoto de qualquer lugar do mundo.
Compreensivelmente, a Samsung tem sido defensiva sobre as questões críticas de segurança, alegando que está operando com pleno conhecimento dos problemas e que eles estão sendo ativamente removidos.
Isso é bom o suficiente? Ou deveria a Samsung, uma empresa multinacional de tecnologia, estar investigando ativamente por que seus produtos aparentemente estão sendo despachados com bugs de segurança? Vamos dar uma olhada.
Múltiplas vulnerabilidades
Os pesquisadores de segurança da Universidade de Michigan criaram várias explorações de prova de conceito focadas em expor quaisquer falhas potenciais no ecossistema Samsung SmartThings. Como um dos maiores fabricantes de dispositivos IoT Ready (Internet das Coisas), incluindo geladeiras, termostatos, fornos, portas de segurança, fechaduras, painéis, sensores e muito mais, não será nenhuma surpresa que suas credenciais de segurança estejam sob escrutínio. .
Os pesquisadores confirmaram que as falhas foram causadas por duas falhas de projeto intrínsecas no ecossistema SmartThings. Além disso, as duas falhas de design intrínseco não são necessariamente fáceis de corrigir.
Os problemas estão relacionados a como os aplicativos de controle residencial inteligentes de terceiros implementam o protocolo de autorização OAuth . Os pesquisadores descobriram um aplicativo não compatível e conseguiram criar um ataque inteiro baseado na falha, enviando um único link para a página de login do SmartThings, mas roubando o token de login do usuário ao mesmo tempo. Com os tokens em mãos, um atacante poderia criar seu próprio PIN para uma trava inteligente enquanto o usuário continuaria desprevenido. 4 Usos realmente legais para SmartThings Sensores Fechados Abertos 4 Usos Realmente Frescos para SmartThings Sensores Fechados Abertos O sensor Aberto / Fechado é destinado a monitore portas e portões, mas com alguma criatividade pode fazer muito mais. Aqui estão idéias para usar o dispositivo para tornar sua casa um pouco mais inteligente. Consulte Mais informação .
Outra exploração incluiu a exploração de uma vulnerabilidade para desativar o "modo de férias", demonstrando o acesso a permissões de alto nível. Uma vez que o acesso ao “modo de férias” é concedido a um invasor, eles podem atenuar quaisquer modos de defesa de férias pré-programados, como acender luzes de ciclismo aleatoriamente em toda a casa ou abrir e fechar persianas para simular uma residência ocupada.
Isso leva à segunda faceta do problema de segurança do SmartThings. A maioria dos aplicativos explorados pelos pesquisadores não deveria ter esse nível de privilégio operacional para começar. Os pesquisadores de segurança estabeleceram que a loja SmartThings contém mais de 500 aplicativos individuais Veja como o novo aplicativo SmartThings é um passo importante para trás Veja como o novo aplicativo SmartThings é um passo importante para trás Uma atualização recente do aplicativo SmartThings demonstra que a empresa pode estar mudando de rumo. Esse tipo de tecnologia está mudando, mas ainda não se sabe se isso é para melhor ou para pior. Leia mais oferecendo algum grau de controle ou automação de sua casa. Eles então descobriram que mais de 40% desses aplicativos concedem muitos privilégios para o trabalho às vezes simples que foram projetados para fazer.
Esses aplicativos "com privilégios excessivos" criam um problema de segurança significativo, embora muitas vezes não seja totalmente culpa do designer. Atul Prakash, professor de ciência da computação e engenharia da Universidade de Michigan, explicou o seguinte:
“As concessões de SmartThings de acesso, por padrão, estão em um nível de dispositivo completo, em vez de em qualquer limite. Como uma analogia, digamos que você dê a alguém permissão para trocar a lâmpada em seu escritório, mas a pessoa também acaba tendo acesso a todo o seu escritório, incluindo o conteúdo de seus arquivos. ”
A resposta da Samsung
Como seria de esperar, a Samsung protegeu os interesses da Internet das Coisas. A declaração SmartThings é a seguinte:
“Proteger a privacidade dos nossos clientes e a segurança dos dados é fundamental para tudo o que fazemos no SmartThings. Estamos plenamente conscientes do relatório da Universidade de Michigan / Microsoft Research e temos trabalhado com os autores do relatório nas últimas semanas sobre formas de continuar a tornar a casa inteligente mais segura à medida que a indústria cresce.
As possíveis vulnerabilidades divulgadas no relatório dependem principalmente de dois cenários - a instalação de um SmartApp mal-intencionado ou a falha de desenvolvedores de terceiros em seguir as diretrizes do SmartThings sobre como manter seu código seguro.
Com relação aos SmartApps mal-intencionados descritos, eles não afetam e nem afetariam nossos clientes por causa dos processos de certificação e revisão de código que o SmartThings implementou para garantir que SmartApps mal-intencionados não sejam aprovados para publicação. Para melhorar ainda mais nossos processos de aprovação SmartApp e garantir que as possíveis vulnerabilidades descritas continuem não afetando nossos clientes, adicionamos requisitos adicionais de revisão de segurança para a publicação de qualquer SmartApp.
Como uma plataforma aberta com uma comunidade de desenvolvedores ativa e em crescimento, o SmartThings fornece diretrizes detalhadas sobre como manter todo o código seguro e determinar o que é uma fonte confiável. Se o código for baixado de uma fonte não confiável, isso pode representar um risco potencial, assim como quando um usuário de PC instala software de um site de terceiros desconhecido, há o risco de que o software possa conter código malicioso. Após este relatório, atualizamos nossas práticas recomendadas documentadas para fornecer uma orientação de segurança ainda melhor para os desenvolvedores. ”
Não é a primeira vez que a Samsung se depara com problemas de segurança da IoT, nem é um problema isolado para qualquer empresa de tecnologia única. Os dispositivos de IoT têm sido consistentemente a fonte de problemas de segurança, e a maioria dos usuários que exploram novos dispositivos de rede prontos para a Internet não compreende totalmente a gravidade do que estão fazendo Por que a Internet das coisas é o maior pesadelo da segurança? As coisas são o maior pesadelo de segurança Um dia, você chega em casa do trabalho para descobrir que seu sistema de segurança doméstico habilitado para a nuvem foi violado. Como isso pôde acontecer? Com a Internet of Things (IoT), você pode descobrir o caminho mais difícil. Consulte Mais informação .
Pequeno estudo SmartApp
A equipe de pesquisa chegou a concluir um estudo reconhecidamente extremamente pequeno de pessoas usando SmartApps, avaliando suas atenções para as permissões que estavam concedendo.
De forma chocante, 20 das 22 pessoas entrevistadas deixariam um aplicativo de monitoramento de bateria verificar o status dos bloqueios inteligentes instalados em suas instalações, na premissa de que o aplicativo enviaria códigos de acesso de porta a um servidor remoto. Pode ser um caso de usuários que não estejam realizando a devida diligência para a segurança pessoal, ainda mais quando isso envolve o potencial de perda grave ou, na pior das hipóteses, perigo pessoal.
Mas igualmente, e é aí que eu lamento com os usuários, uma questão importante é que as empresas instalando e implementando sistemas inteligentes em residências e empresas privadas não estão oferecendo suporte educacional suficiente aos usuários. 7 razões pelas quais a Internet das coisas deve assustá-lo. Por que a Internet das coisas deve assustá-lo Os benefícios potenciais da Internet das Coisas aumentam, enquanto os perigos são lançados nas sombras silenciosas. É hora de chamar a atenção para esses perigos com sete promessas aterrorizantes da IoT. Consulte Mais informação .
Claro, o usuário pode entender o que o instalador está falando, mas eles realmente digeriram o fato de que toda a sua casa está conectada em rede? Eles entendem que sua geladeira agora está on-line? 5 Dispositivos que você não deseja conectar à Internet das coisas 5 Dispositivos que você não deseja conectar à Internet das coisas A Internet das coisas (IoT) pode não ser tudo estar. Na verdade, existem alguns dispositivos inteligentes que você pode não querer conectar à web. Leia mais, e que sua geladeira agora está aberta para as mesmas vulnerabilidades do tablet? Porque você pode apostar o seu último dólar, o usuário estará muito mais atualizado com as vulnerabilidades do tablet, em vez de uma ameaça um pouco intangível ao conteúdo do refrigerador Smart Chiller da Samsung. Como sobre o resto da sua casa inteligente? Geladeira Inteligente da Samsung Só Tenho Pwned. Como sobre o resto da sua casa inteligente? Uma vulnerabilidade com a geladeira inteligente da Samsung foi descoberta pela firma de testes Infosec, do Reino Unido, Pen Test Parters. A implementação de criptografia SSL da Samsung não verifica a validade dos certificados. Consulte Mais informação .
Ou, como a equipe de pesquisadores da Universidade de Michigan escreveu:
“Dispositivos domésticos inteligentes e suas plataformas de programação associadas continuarão a proliferar e permanecerão atraentes para os consumidores, pois fornecem funcionalidades poderosas. No entanto, os resultados deste artigo sugerem que a cautela também é justificada - por parte dos primeiros adotantes e por parte dos projetistas de frameworks. Os riscos são significativos e é improvável que sejam facilmente resolvidos através de patches de segurança simples ”.
Não há necessidade de pânico. A Samsung já começou a abordar algumas das principais questões destacadas no documento, embora leve algum tempo para garantir que a estrutura SmartThings seja realmente uma plataforma doméstica inteligente realmente segura. Qual é o melhor para você? Qual Smart Hub para automação residencial é melhor para você? Por um tempo, as pessoas pensaram na ideia como nada mais do que um truque, mas lançamentos recentes de produtos mostraram que a automação residencial inteligente está começando a cumprir suas promessas. Consulte Mais informação .
Você usa SmartThings? Você considerará mudar para uma estrutura diferente? Deixe-nos saber abaixo!
Crédito de imagem: Alexander Kirch via Shutterstock