Исследователи в области безопасности в Университете Мичигана обнаружили ряд недостатков дизайна в платформе Samsung SmartThings. Недостатки потенциально подрывают безопасность любых настроек умного дома с использованием экосистемы SmartThings. , позволяя вредоносным программам открывать двери, ложно отключать сигналы тревоги, устанавливать коды доступа к дому, выводить устройства из режима отпуска и множество других векторов атак.
В некотором смысле, одна из атак зависит от загрузки пользователем вредоносного приложения из магазина SmartThings или перехода по вредоносной ссылке. После загрузки вредоносного приложения злоумышленник может эффективно провести удаленную атаку из любой точки мира.
Понятно, что Samsung отстаивала критические вопросы безопасности, утверждая, что она работает с полным знанием проблем и активно их устраняет.
Это достаточно хорошо? Или Samsung, международная технологическая компания, должна активно расследовать, почему их продукты поставляются с ошибками в безопасности? Давайте взглянем.
Многочисленные уязвимости
Исследователи в области безопасности из Мичиганского университета разработали несколько экспериментальных экспериментов, направленных на выявление возможных сбоев в экосистеме Samsung SmartThings. Будучи одним из крупнейших производителей устройств IoT Ready (Internet of Things), включая холодильники, термостаты, духовки, защитные двери, замки, панели, датчики и многое другое, неудивительно, что их учетные данные находятся под пристальным вниманием ,
Исследователи подтвердили, что неисправности были вызваны двумя внутренними недостатками дизайна в экосистеме SmartThings. Более того, эти два недостатка дизайна не всегда легко исправить.
Проблемы связаны с тем, как сторонние приложения для управления умным домом реализуют протокол авторизации OAuth . Исследователи обнаружили одно несовместимое приложение и смогли создать целую атаку, основанную на недостатке, отправив одну ссылку на фактическую страницу входа в SmartThings, но в то же время украли маркер входа пользователя. Имея жетоны в руках, злоумышленник может создать свой собственный ПИН-код для интеллектуальной блокировки, в то время как пользователь останется не
Еще один эксплойт включал использование уязвимости для отключения «режима отпуска», демонстрируя доступ к высокоуровневым разрешениям. После того, как злоумышленнику предоставлен доступ к «режиму отпуска», он может смягчить любые заранее запрограммированные режимы защиты во время отпуска, такие как случайное включение света по всему дому или открытие и закрытие жалюзи для имитации занятого места жительства.
Это приводит ко второму аспекту проблемы безопасности SmartThings. Большинство приложений, используемых исследователями, не должны иметь такого уровня эксплуатационных привилегий с самого начала. Исследователи в области безопасности установили, что в магазине SmartThings содержится более 500 отдельных приложений. предлагая некоторую степень контроля или автоматизации вашего дома. Затем они обнаружили, что более 40% этих приложений предоставляют слишком много привилегий для иногда простой работы, для которой они были предназначены.
Эти приложения с «чрезмерными привилегиями» создают серьезную проблему безопасности, хотя зачастую это не полностью вина дизайнера. Профессор информатики и инженерии Мичиганского университета Атул Пракаш объяснил это так:
«SmartThings предоставляет доступ по умолчанию на полном уровне устройства, а не на более узком уровне. В качестве аналогии, скажем, вы даете кому-то разрешение на замену лампочки в вашем офисе, но этот человек также получает доступ ко всему офису, включая содержимое ваших картотек ».
Ответ Samsung
Как и следовало ожидать, Samsung защищали свои интересы в Интернете. Заявление SmartThings выглядит следующим образом :
«Защита конфиденциальности и безопасности данных наших клиентов является основополагающей для всего, что мы делаем в SmartThings. Мы полностью осведомлены об отчете Мичиганского университета / Microsoft Research и в течение последних нескольких недель работали с авторами отчета над тем, как мы можем продолжать делать умный дом более безопасным по мере роста отрасли.
Потенциальные уязвимости, раскрытые в отчете, в основном зависят от двух сценариев — установки вредоносного приложения SmartApp или отказа сторонних разработчиков следовать рекомендациям SmartThings по обеспечению безопасности своего кода.
Что касается описанных вредоносных SmartApps, они не оказывают и никогда не будут влиять на наших клиентов из-за процессов сертификации и проверки кода, которые SmartThings использует для обеспечения того, чтобы вредоносные SmartApps не были одобрены для публикации. Для дальнейшего улучшения наших процессов утверждения SmartApp и обеспечения того, чтобы описанные потенциальные уязвимости по-прежнему не влияли на наших клиентов, мы добавили дополнительные требования проверки безопасности для публикации любого SmartApp.
Как открытая платформа с растущим и активным сообществом разработчиков, SmartThings предоставляет подробные рекомендации о том, как сохранить весь код в безопасности и определить, что является надежным источником. Если код загружен из ненадежного источника, это может представлять потенциальный риск, так же как когда пользователь ПК устанавливает программное обеспечение с неизвестного стороннего веб-сайта, существует риск, что программное обеспечение может содержать вредоносный код. После этого отчета мы обновили наши документированные рекомендации, чтобы предоставить разработчикам еще лучшие рекомендации по безопасности ».
Это не первый случай, когда Samsung сталкивается с проблемами безопасности IoT и не является проблемой, изолированной ни для одной технологической компании. Устройства IoT неизменно являются источником проблем безопасности, и большинство пользователей, исследующих новые, готовые к работе в сети, сетевые устройства , не до конца понимают серьезность того, что они делают
Небольшое исследование SmartApp
Исследовательская группа даже завершила чрезвычайно небольшое исследование людей, использующих SmartApps, оценивая их внимание к разрешениям, которые они давали.
Шокирующе, что 20 из 22 опрошенных позволили бы приложению мониторинга батареи проверять состояние интеллектуальных замков, установленных в их помещениях, при условии, что приложение отправит коды доступа к двери на удаленный сервер. Это может быть случай, когда пользователи не проявляют должной осмотрительности в целях обеспечения личной безопасности, особенно в тех случаях, когда это может привести к серьезным потерям или, в худшем случае, к личной опасности.
Но в равной степени, и именно здесь я выражаю соболезнование пользователям, основная проблема заключается в том, что компании, устанавливающие и внедряющие интеллектуальные системы в частных домах и на предприятиях, не предлагают достаточную образовательную поддержку пользователям
Конечно, пользователь может понять, о чем говорит установщик, но действительно ли он переварил тот факт, что весь его дом подключен к сети? Понимают ли они, что их холодильник теперь подключен к сети , и что их холодильник теперь открыт для тех же уязвимостей, что и их планшет? Поскольку вы можете сделать ставку на свой нижний доллар, пользователь будет гораздо более осведомлен об уязвимостях планшета, чем о нематериальной угрозе содержимого холодильной машины
Или, как писала команда исследователей из Мичиганского университета:
«Умные домашние устройства и связанные с ними программные платформы будут продолжать распространяться и будут оставаться привлекательными для потребителей, поскольку они предоставляют мощную функциональность. Тем не менее, результаты в этой статье предполагают, что предостережение также оправдано — как со стороны первых пользователей, так и со стороны разработчиков каркаса. Риски значительны, и вряд ли их можно легко устранить с помощью простых исправлений безопасности ».
Нет необходимости паниковать. Samsung уже приступила к решению некоторых основных проблем, выделенных в документе, хотя потребуется некоторое время, чтобы платформа SmartThings стала действительно безопасной платформой для умного дома.
Вы используете SmartThings? Будете ли вы рассмотреть возможность перехода на другую структуру? Дайте нам знать ниже!
Кредит Фотографии: Александр Кирх через Shutterstock