Peter Holmes
0 
3193
85
Michigan Üniversitesi'ndeki güvenlik araştırmacıları, Samsung'un SmartThings platformunda bir dizi tasarım kusurunu ortaya çıkardı. Kusurlar potansiyel olarak SmartThings ekosistemini kullanarak tüm akıllı ev kurulumlarının güvenliğini baltalıyor 3 SmartThings Varlığı ile Ailenizi ve Evinizi Koruma Yolları 3 SmartThings Varlığı ile Ailenizi ve Evinizi Koruma Yolları SmartTings Varlığı ile teknolojiyi kullanmak ister misiniz? SmartThings Presence'ın evinize dikkatli bir şekilde göz kulak olmak için neler yapabileceğini kontrol edin. kötü amaçlı uygulamaların kapı kilidini açmasına, yanlış alarm vermesine, ev erişim kodlarını ayarlamasına, cihazları tatil modundan uyandırmasına ve bir dizi diğer saldırı vektörüne izin vermek.
Hafif bir tasarruf ödemesinde, saldırılardan biri, kullanıcıya SmartThings mağazasından kötü amaçlı bir uygulama indirmesine veya kötü amaçlı bir bağlantı izleyerek bağlıdır. Kötü amaçlı uygulama indirildikten sonra, saldırgan dünyanın herhangi bir yerinden uzak bir saldırıyı etkin bir şekilde gerçekleştirebilir.
Anlaşılır bir şekilde, Samsung, sorunlar hakkında tam olarak çalıştığını ve aktif olarak ortadan kaldırıldığını iddia ederek kritik güvenlik sorunları konusunda savunuculuğa uğradı..
Bu yeterince iyi mi? Yoksa çok uluslu bir teknoloji şirketi olan Samsung, ürünlerinin neden güvenlik açığıyla karşı karşıya olduğunu açıkça araştırıyor mu? Hadi bir bakalım.
Birden Çok Güvenlik Açığı
Michigan Üniversitesi'ndeki güvenlik araştırmacıları, Samsung SmartThings ekosistemindeki olası arızaları açığa vurmaya odaklanan birkaç kavram kanıtı ortaya çıkardılar. Buzdolapları, termostatlar, fırınlar, güvenlik kapıları, kilitler, paneller, sensörler ve daha fazlası dahil olmak üzere en büyük IoT Ready (Nesnelerin İnterneti) cihaz üreticilerinden biri olarak, güvenlik sertifikalarının incelenmesi altında olması şaşırtıcı olmayacaktır.
Araştırmacılar, hataların SmartThings ekosistemindeki iki özgün tasarım kusurundan kaynaklandığını doğruladı. Dahası, iki iç tasarım kusurunun düzeltilmesi her zaman kolay değildir..
Sorunlar, üçüncü taraf akıllı ev kontrol uygulamalarının yetkilendirme protokolünü nasıl uyguladığı ile ilgilidir. OAuth. Araştırmacılar uyumlu olmayan bir uygulama keşfettiler ve bu hataya dayanarak tam bir saldırı oluşturabildiler, gerçek SmartThings giriş sayfasına tek bir link gönderdiler, ancak aynı zamanda kullanıcının giriş belirtecini çaldılar. Belirteçler elindeyken, saldırgan akıllı bir kilit için kendi PIN'ini kendi PIN'ini oluşturabilirken, kullanıcı habersiz kalır 4 SmartThings İçin Gerçekten Soğuk Kullanımlar Açık Kapalı Sensörler 4 SmartThings İçin Gerçekten Soğuk Kullanımlar Açık Kapalı Sensörler Açık / Kapalı sensörün kullanımı amaçlanmıştır kapıları ve kapıları izlemek, ancak bazı yaratıcılıklarla çok daha fazlasını yapabilir. İşte evinizi daha akıllı hale getirmek için aygıtı kullanmak için fikirler. .
Başka bir istismar, açılacak bir güvenlik açığından yararlanılmasını içeriyordu. “tatil modu” kapalı, üst düzey izinlere erişimi gösteren. Erişimine bir kez “tatil modu” Bir saldırgana verilir, ev içindeki rastgele yoldaki farlar gibi önceden programlanmış herhangi bir tatil savunma modunu azaltabilir veya dolu bir konutu simüle etmek için güneşlikler açıp kapatabilirler..
Bu, SmartThings güvenlik sorununun ikinci yönüne götürür. Araştırmacılar tarafından sömürülen uygulamaların çoğu, başlamak için bu düzeyde çalışma ayrıcalığına sahip olmamalıdır. SmartThings mağazasını kuran güvenlik araştırmacıları 500'den fazla bireysel uygulama içeriyor İşte Yeni SmartThings Uygulamasının Geriye Doğru Büyük Bir Adım Olduğu İşte Yeni SmartThings Uygulamasının Çok Önemli Bir Adım Geri Olduğu SmartThings uygulamasında yapılan son güncelleme, şirketin rotayı değiştirdiğini gösteriyor. Bu tür bir teknoloji kesinlikle değişiyor, ancak bunun daha iyi ya da daha kötü için olup olmadığı görülüyor. Evinizin bir dereceye kadar kontrol veya otomasyonunu sunar. Daha sonra bu uygulamaların% 40'ından fazlasının, yapmak için tasarlandıkları basit işler için çok fazla ayrıcalık sağladığını buldular.
Bunlar “Aşırı ayrıcalık” Tasarımcılar önemli bir güvenlik sorunu yaratır, ancak bu tamamen tasarımcının hatası değildir. Michigan Üniversitesi, bilgisayar bilimi ve mühendisliği profesörü Atul Prakash şöyle açıkladı:
“SmartThings'e varsayılan olarak erişim izni, herhangi bir dardan ziyade tam bir cihaz düzeyindedir. Bir benzetme olarak, ofisinizde ampulü değiştirmek için birisine izin verdiğinizi söyleyin, ancak kişi ayrıca dosya dolabınızın içeriği de dahil olmak üzere tüm ofise erişiminiz sona erer..”
Samsung Tepki
Beklediğiniz gibi Samsung, Nesnelerin İnterneti çıkarları konusunda koruyucu olmuş. SmartThings deyimi aşağıdaki gibidir:
“Müşterilerimizin gizliliğini ve veri güvenliğini korumak, SmartThings'de yaptığımız her şey için esastır. Michigan Üniversitesi / Microsoft Araştırma raporunun tamamen farkındayız ve geçtiğimiz birkaç hafta boyunca sektörün büyüdüğü akıllı evi daha güvenli hale getirmeye devam etmenin yolları üzerinde rapor yazarlarıyla birlikte çalışıyoruz..
Raporda açıklanan potansiyel güvenlik açıkları öncelikle iki senaryoya bağlıdır - kötü niyetli bir SmartApp'in kurulması veya üçüncü taraf geliştiricilerin kodlarını nasıl güvenli tutabilecekleri konusunda SmartThings yönergelerine uymaması.
Açıklanan kötü niyetli SmartApp'larla ilgili olarak, bunlar, SmartThings'in kötü niyetli SmartApp'lerin yayınlanması için onaylanmadığından emin olmak için yürüttüğü sertifika ve kod inceleme süreçleri nedeniyle müşterilerimizi etkilememiştir ve hiçbir zaman etkilemeyecektir. SmartApp onay süreçlerimizi daha da iyileştirmek ve açıklanan olası güvenlik açıklarının müşterilerimizi etkilememeye devam etmesini sağlamak için, herhangi bir SmartApp'ın yayınlanması için ek güvenlik incelemesi gereksinimleri ekledik..
Büyüyen ve aktif bir geliştirici topluluğuna sahip açık bir platform olan SmartThings, tüm kodların nasıl güvende tutulacağına ve güvenilir bir kaynağın ne olduğuna karar verilmesine ilişkin ayrıntılı kılavuzlar sunar. Kod güvenilmeyen bir kaynaktan indirilirse, bu, bir PC kullanıcısı bilinmeyen bir üçüncü taraf web sitesinden yazılım yüklediğinde olduğu gibi potansiyel bir risk oluşturabilir, yazılımın kötü amaçlı kod içerme riski vardır. Bu raporun ardından, geliştiricilere daha iyi güvenlik rehberliği sağlamak için belgelenmiş en iyi uygulamalarımızı güncelledik..”
Samsung'un IoT güvenlik sorunlarıyla ilk kez karşılaştığı gibi değil, herhangi bir tek teknoloji şirketi için izole edilmiş bir sorun da değil. IoT cihazları sürekli olarak güvenlik sorunlarının kaynağı olmuştur ve yeni, internete hazır, ağa bağlı cihazları araştıran kullanıcıların çoğunluğu tam olarak ne yaptıklarının ciddiyetini anlamamaktadır Niçin Nesnelerin İnterneti En Büyük Güvenlik Kabus Neden? Her Şey En Büyük Güvenlik Kabusu: Bir gün, bulut etkin ev güvenlik sisteminizin ihlal edildiğini keşfetmek için işten eve geldiniz. Bu nasıl olabilir? Nesnelerin İnterneti (IoT) ile zor yoldan öğrenebilirsiniz. .
Küçük SmartApp Çalışması
Araştırma ekibi, SmartApps kullanan kişilerin dikkatini çeken son derece küçük bir çalışmayı bile tamamladılar..
Şaşırtıcı bir şekilde, görüşülen 22 kişiden 20'si, bir batarya izleme uygulamasının kendi tesislerinde kurulu akıllı kilitlerin durumunu kontrol etmesine izin verecek, uygulama yerinde bir uzak sunucuya kapı erişim kodları gönderecektir. Kullanıcıların kişisel güvenlik konusundaki özenlerini yerine getirememesi durumunda, ciddi kayıp veya en kötü ihtimalle kişisel tehlike potansiyeli söz konusu olduğunda.
Ancak, eşit derecede ve bu noktada kullanıcılar ile uğraştığım nokta, önemli bir sorun, özel konutlar ve işletmeler genelinde akıllı sistemler kuran ve uygulayan şirketlerin, kullanıcılara yeterli eğitim desteği sunmamalarıdır 7 Sebepler Neden İnternet sizi Korkutmalı? 7 Sebepler Neden Nesnelerin İnterneti Sizi Korkutmalı? Nesnelerin İnterneti'nin potansiyel faydaları parlaklaşırken, tehlikeler sessiz gölgelere dökülür. IoT'nin yedi korkunç sözü ile bu tehlikelere dikkat çekmenin zamanı geldi. .
Tabii ki, kullanıcı olabilir anlama Yükleyici ne hakkında konuşuyor, ama bütün evlerinin ağa bağlı olduğu gerçeğini gerçekten sindirdiler mi? Buzdolabının artık çevrimiçi olduğunu anlıyorlar mı? 5 Nesnelerin İnternetine Bağlanmak İstemediğiniz Cihazlar 5 Nesnelerin İnternetine Bağlanmak İstemediğiniz Cihazlar Nesnelerin İnterneti (IoT) kırılan her şey olmayabilir olmak. Aslında, web'e hiç bağlanmak istemeyebileceğiniz bazı akıllı cihazlar var. ve onların buzdolabının artık tabletleriyle aynı güvenlik açıklarına açık olduğunu? En düşük dolara bahis oynayabileceğiniz için, kullanıcı Samsung'un Akıllı Buzdolabı Yeni Got Pwned'in içeriğine yönelik somut bir tehdit yerine, tablet açıkları ile çok daha güncel olacaktır. Akıllı Evinizin Kalanı Nasıl? Samsung'un Akıllı Buzdolabı Pwned. Akıllı Evinizin Kalanı Nasıl? İngiltere merkezli infosec firması Pen Test Parters tarafından Samsung'un akıllı buzdolabındaki bir güvenlik açığı keşfedildi. Samsung'un SSL şifreleme uygulaması, sertifikaların geçerliliğini kontrol etmiyor. .
Veya, Michigan Üniversitesi araştırmacı ekibinin yazdığı gibi:
“Akıllı ev cihazları ve bunlarla ilişkili programlama platformları çoğalmaya devam edecek ve güçlü işlevsellik sağladıkları için tüketiciler için çekici kalacaktır. Bununla birlikte, bu makaledeki bulgular, erken benimseyenler ve çerçeve tasarımcıları için de dikkatli olunacağını göstermektedir. Riskler önemlidir ve basit güvenlik yamalarıyla kolayca ele alınması olası değildir.”
Panik yapmanıza gerek yok. Samsung, makalede vurgulanan bazı temel hususları ele almaya başlamıştır, ancak SmartThings çerçevesinin gerçekten güvenli bir akıllı ev platformu olmasını sağlamak biraz zaman alacaktır, Ev Otomasyonu İçin Hangi Akıllı Hub Sizin İçin En İyi? Ev Otomasyonu için Hangi Akıllı Hub Sizin İçin En İyisidir? Bir süre, insanlar fikri bir hile yapmaktan başka bir şey olarak düşünmüyorlardı, ancak yeni çıkan ürünler akıllı ev otomasyonunun vaatlerini yerine getirmeye başladığını gösterdi. .
SmartThings kullanıyor musunuz? Farklı bir çerçeveye geçmeyi düşünür müsünüz? Aşağıda bize bildirin!
Resim Kredisi: Shutterstock ile Alexander Kirch