Samsung smartthings falla de seguridad: lo que necesita saber
Los investigadores de seguridad de la Universidad de Michigan han descubierto una serie de defectos de diseño en la plataforma SmartThings de Samsung. Los defectos potencialmente socavan la seguridad de cualquier configuraciones de casas inteligentes que utilizan el ecosistema SmartThings, permitiendo que las aplicaciones maliciosas para desbloquear puertas, falsamente saltar las alarmas, códigos de acceso establecidos hogar, dispositivos de despertar, debido a modo de vacaciones, y una serie de otros vectores de ataque.3 maneras de proteger a su familia y casa con SmartThings Presencia3 maneras de proteger a su familia y casa con SmartThings Presencia¿Quieres usar la tecnología para mantener su más cercano y más querido segura? Checa lo que un SmartThings Presencia puede hacer para mantener un ojo vigilante sobre su casa.Lee mas
En un ligero ahorro de gracia, uno de los ataques depende del usuario la descarga de una aplicación maliciosa desde la tienda SmartThings, o siguiendo un enlace malicioso. Una vez que se haya descargado la aplicación maliciosa, un atacante podría realizar con eficacia un asalto a distancia desde cualquier lugar del mundo.
Comprensiblemente, Samsung ha sido la defensiva acerca de los problemas de seguridad críticos, alegando que está funcionando con pleno conocimiento de los problemas y que se están eliminando activamente.
Vídeo: Samsung SmartThings
Es que lo suficientemente bueno? O debería Samsung, una empresa multinacional de tecnología de forma activa a investigar por qué sus productos son aparentemente envío con errores de seguridad? Vamos a ver.
múltiples vulnerabilidades
Los investigadores de seguridad de la Universidad de Michigan diseñaron varios exploits prueba de concepto centradas en la exposición de las fallas potenciales en el ecosistema Samsung SmartThings. Como uno de los mayores fabricantes de dispositivos IO Ready (Internet of Things), incluyendo refrigeradores, termostatos, hornos, puertas de seguridad, cerraduras, paneles, sensores, y mucho más, vendrá como ninguna sorpresa que sus credenciales de seguridad son objeto de escrutinio .
Los investigadores confirmaron las fallas fueron causadas por dos defectos de diseño intrínsecos en el ecosistema SmartThings. Lo que es más es que los dos defectos de diseño intrínsecos no son necesariamente fáciles de solucionar.
Las cuestiones se refieren a cómo las aplicaciones de control del hogar inteligente de terceros implementan el protocolo de autorización OAuth. Los investigadores descubrieron una aplicación no conforme, y fueron capaces de construir un ataque entera en torno a la falla, el envío de un único enlace a los reales SmartThings página de acceso, pero el robo de señal de entrada del usuario al mismo tiempo. Con las fichas en la mano, un atacante podría crear factible su propio PIN para una cerradura inteligente mientras el usuario se quedaría sin darse cuenta.4 Usos realmente fresco para SmartThings Abiertas sensores cerrados4 Usos realmente fresco para SmartThings Abiertas sensores cerradosEl sensor abierto / cerrado está destinado a vigilar las puertas y torres, pero con un poco de creatividad se puede hacer mucho más. He aquí algunas ideas para utilizar el dispositivo para hacer de su casa un poco más inteligente.Lee mas
Otra hazaña incluyó una vulnerabilidad para activar el “modo vacaciones” fuera, lo que demuestra el acceso a los permisos de alto nivel. Una vez que el acceso a “modo de vacaciones” se concede a un atacante, que pueden mitigar los modos de defensa vacaciones pre-programados, tales como el ciclismo al azar luces de toda la casa, o la apertura y cierre de persianas para simular una residencia ocupada.
Esto lleva a la segunda faceta del problema de seguridad SmartThings. La mayor parte de las aplicaciones explotadas por los investigadores no deben tener este nivel de privilegio operativo para empezar. Los investigadores de seguridad establecidas las SmartThings tienda contiene más de 500 aplicaciones individuales ofreciendo un cierto grado de control o automatización de su hogar. A continuación, encontraron más del 40% de estas aplicaciones conceder demasiados privilegios para el a veces simple trabajo que fueron diseñados para hacer.Así es como el Nuevo SmartThings aplicación es un gran paso hacia atrásAsí es como el Nuevo SmartThings aplicación es un gran paso hacia atrásUna reciente actualización de la aplicación SmartThings demuestra que la empresa podría estar cambiando de rumbo. Este tipo de tecnología es, sin duda cambiando, pero queda por ver si esto es para mejor o peor.Lee mas
Estas aplicaciones “sobre-privilegios” crean un problema importante de seguridad, aunque a menudo no es del todo culpa del diseñador. Atul Prakash, profesor de la Universidad de Michigan de la informática y la ingeniería lo explicó de esta manera:
“Las subvenciones SmartThings de acceso por defecto es a un nivel completo del dispositivo, en lugar de cualquier estrecho. Como analogía, digamos que da permiso a alguien para cambiar la bombilla en su oficina, pero la persona también termina encima de conseguir el acceso a toda la oficina, incluyendo el contenido de sus archivadores “.
Vídeo: Samsung SmartThings
La respuesta de Samsung
Como era de esperar, Samsung ha sido protectora sobre su Internet de los intereses de las cosas. La declaración SmartThings es el siguiente:
Vídeo: Samsung SmartThings | Ulterior Motive
“La protección de la privacidad y la seguridad de los datos de nuestros clientes es fundamental para todo lo que hacemos en SmartThings. Somos plenamente conscientes de la Universidad de Michigan / informe de Microsoft Research y hemos estado trabajando con los autores del informe de las últimas semanas en las maneras que podemos seguir haciendo de la casa inteligente más seguro ya que la industria crece.
Las vulnerabilidades potenciales dados a conocer en el informe dependen principalmente en dos escenarios - la instalación de un SmartApp malicioso o el fracaso de los desarrolladores de terceras partes a seguir las directrices SmartThings sobre cómo mantener su código de seguridad.
En cuanto a los SmartApps maliciosos descritos, estas no tienen y nunca tendrían un impacto a nuestros clientes debido a la certificación y el código de revisar los procesos SmartThings ha en su lugar para asegurar SmartApps maliciosos no están aprobados para su publicación. Para mejorar aún más nuestros procesos de aprobación SmartApp y asegurar que las vulnerabilidades potenciales descritos siguen sin afectar a nuestros clientes, hemos añadido requisitos adicionales de revisión de seguridad para la publicación de cualquier SmartApp.
Como una plataforma abierta con una creciente comunidad de desarrolladores y activa, SmartThings proporciona directrices detalladas sobre cómo mantener todo el código de seguridad y determinar lo que es una fuente de confianza. Si el código se descarga desde una fuente no confiable, esto puede presentar un riesgo potencial al igual que cuando un usuario de PC se instala software desde un sitio web desconocido tercero, hay un riesgo de que el software puede contener código malicioso. A raíz de este informe, hemos actualizado nuestras mejores prácticas documentadas para proporcionar aún mejor guía de seguridad para los desarrolladores “.
No es la primera vez que Samsung ha topó con problemas de seguridad de la IO, ni tampoco es un problema aislado de cualquier empresa de tecnología única. dispositivos IO han sido siempre la fuente de los problemas de seguridad, y una mayoría de los usuarios, la exploración de nuevos dispositivos en red, listos para Internet no comprender plenamente la gravedad de lo que están haciendo.¿Por qué la Internet de las cosas es la mayor pesadilla de Seguridad¿Por qué la Internet de las cosas es la mayor pesadilla de SeguridadUn día, se llega a casa del trabajo para descubrir que su sistema de seguridad para la nube ha sido violada. ¿Cómo pudo pasar esto? Con Internet de los objetos (IO), se puede encontrar la manera difícil.Lee mas
Estudio pequeña SmartApp
El equipo de investigación, incluso completó un cierto extremadamente pequeño estudio de personas que utilizan SmartApps, calibrando su atención a los permisos que habían concedido.
Sorprendentemente, 20 de las 22 personas entrevistadas permitiría una aplicación de supervisión de la batería comprobar el estado de las cerraduras inteligentes instalados en sus locales, en la premisa de que la aplicación podría enviar los códigos de acceso de la puerta a un servidor remoto. Puede ser un caso de usuarios no cometer su debida diligencia para la seguridad personal, más aún cuando se trata de la posibilidad de pérdida grave, o en el peor, peligro personal.
Pero igualmente, y aquí es donde me compadezco con los usuarios, un problema importante es que las empresas de instalación e implementación de sistemas inteligentes en toda residencias privadas y las empresas están no ofrecer suficiente apoyo educativo a los usuarios.7 razones por Internet de los objetos debe asustarle7 razones por Internet de los objetos debe asustarleLos beneficios potenciales de la Internet de las cosas crecen brillante, mientras que los peligros están echados en las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete promesas terribles de la IO.Lee mas
Claro, el usuario podría entender lo que el instalador está hablando, pero que en realidad han digerido el hecho de su casa entera está conectado en red? Entienden que su nevera ahora está en línea, y que su refrigerador está abierto a las mismas vulnerabilidades como su tableta? Debido a que usted puede apostar su último dólar el usuario será mucho más al día con las vulnerabilidades de tabletas en lugar de una forma un tanto intangible amenaza para el contenido del enfriador.
O, como el equipo investigador de la Universidad de Michigan escribió:
Vídeo: How to Connect the Samsung SmartThings Multipurpose Sensor
“Dispositivos domésticos inteligentes y sus plataformas de programación asociados seguirán proliferando y seguirán siendo atractivos para los consumidores, ya que proporcionan una potente funcionalidad. Sin embargo, los resultados de este trabajo sugieren que se debe tener precaución también - por parte de los primeros usuarios, y por parte de los diseñadores marco. Los riesgos son significativos, y es poco probable que abordar fácilmente a través de parches de seguridad simples “.
No hay necesidad de pánico. Samsung ya han comenzado a abordar algunos de los problemas principales se destaca en el documento, aunque llevará algún tiempo para asegurar los SmartThings marco es verdaderamente una plataforma verdaderamente seguro hogar inteligente.¿Qué Smart Hub de automatización del hogar es mejor para usted?¿Qué Smart Hub de automatización del hogar es mejor para usted?Durante un tiempo, la gente pensaba de la idea como nada más que un truco, pero los recientes lanzamientos de productos han demostrado que la automatización del hogar inteligente está comenzando a la altura de sus promesas.Lee mas
Cómo se utiliza SmartThings? ¿Va a considerar el cambio a un marco diferente? Háganos saber de abajo!