Samsung smartthings faille de sécurité: ce que vous devez savoir

Les chercheurs en sécurité à l`Université du Michigan ont découvert un certain nombre de défauts de conception dans la plate-forme SmartThings de Samsung. Les défauts sapent potentiellement la sécurité des smart configurations de maison en utilisant l`écosystème SmartThings

, permettant des applications malveillantes pour déverrouiller les portes, faussement déclencher des alarmes, définir des codes d`accès à domicile, dispositifs de réveil du mode de vacances, et une foule d`autres vecteurs d`attaque.3 façons de protéger votre famille et la maison avec SmartThings Présence3 façons de protéger votre famille et la maison avec SmartThings PrésenceVous voulez utiliser la technologie pour garder vos proches en toute sécurité? Découvrez ce que la présence SmartThings peut faire pour garder un œil vigilant sur votre maison.Lire la suite

Dans une légère grâce salvatrice, l`une des attaques dépend de l`utilisateur le téléchargement d`une application malveillante à partir du magasin de SmartThings, ou en suivant un lien malveillant. Une fois l`application malveillante est téléchargée, un attaquant pourrait effectivement mener une attaque à distance de partout dans le monde.

Naturellement, Samsung ont été sur la défensive les problèmes de sécurité critiques, affirmant qu`il fonctionne en toute connaissance des problèmes et qu`ils sont activement enlevés.

Est-ce suffisant? Ou devrait Samsung, une société de technologie multinationale enquêtera activement pourquoi leurs produits embarquent apparemment avec des bogues de sécurité? Nous allons jeter un coup d`oeil.

De multiples vulnérabilités

Les chercheurs en sécurité à l`Université du Michigan ont conçu plusieurs exploits de preuve de concept porté sur l`exposition des défauts potentiels dans l`écosystème Samsung SmartThings. Comme l`un des plus grands fabricants de IdO Ready (Internet des objets) appareils, y compris les réfrigérateurs, les thermostats, les fours, les portes de sécurité, serrures, panneaux, capteurs, et bien plus encore, il ne sera pas une grande surprise que leurs pouvoirs de sécurité sont sous surveillance .

Les chercheurs ont confirmé les défauts ont été causés par deux défauts de conception intrinsèques à l`écosystème SmartThings. Qui plus est que les deux défauts de conception intrinsèques ne sont pas nécessairement faciles à corriger.

Video: Une faille de sécurité sur les Samsung Galaxy - DQJMM (1/3)

Les questions concernent la façon dont les applications de contrôle à domicile à puce tiers à mettre en œuvre le protocole d`autorisation OAuth. Les chercheurs ont découvert une application non conforme, et ont pu construire une attaque entière basée autour de la faille, l`envoi d`un seul lien vers la page de connexion SmartThings réelle, mais voler le jeton de connexion de l`utilisateur en même temps. Avec les jetons en main, un attaquant pourrait créer réalistement leur propre code PIN pour une serrure à puce pendant que l`utilisateur resterait sans le savoir.4 utilisations vraiment cool pour SmartThings ouvert fermé Capteurs4 utilisations vraiment cool pour SmartThings ouvert fermé CapteursLe capteur ouvert / fermé est destiné à surveiller les portes et les portes, mais avec une certaine créativité, il peut faire beaucoup plus. Voici les idées pour utiliser l`appareil pour rendre votre maison un peu plus intelligent.Lire la suite

Un autre exploit inclus exploitation d`une vulnérabilité pour transformer « mode vacances » off, ce qui démontre l`accès aux autorisations de haut niveau. Une fois l`accès à « mode vacances » est accordée à un attaquant, ils peuvent atténuer les modes de défense vacances préprogrammées, tels que les feux vélo au hasard dans toute la maison, ou les stores d`ouverture et de fermeture pour simuler une résidence occupée.

Cela conduit à la deuxième facette de la question de la sécurité des SmartThings. La plupart des applications exploitées par les chercheurs ne devraient pas avoir ce niveau de privilège d`exploitation pour commencer. Les chercheurs en sécurité ont établi les SmartThings magasin contient plus de 500 applications individuelles offrant un certain degré de contrôle ou de l`automatisation de votre maison. Ils ont ensuite trouvé plus de 40% de ces applications accordent trop de privilèges pour le travail parfois simple, ils ont été conçus pour faire.Voici comment la nouvelle SmartThings App est un grand pas en arrièreVoici comment la nouvelle SmartThings App est un grand pas en arrièreUne récente mise à jour de l`application SmartThings démontre que la société pourrait changer cours. Ce type de technologie est certainement en train de changer, mais il reste à voir si cela est pour le meilleur ou le pire.Lire la suite

Ces applications « over-privilège » créer un problème de sécurité important, mais il est souvent pas tout à fait la faute du concepteur. Atul Prakash, Université du Michigan professeur de sciences comme expliqué informatique et d`ingénierie afin:

« Les SmartThings d`accès aux études par défaut est à un niveau de l`appareil complet, plutôt que d`une plus étroite. Par analogie, supposons que vous donnez à quelqu`un la permission de changer l`ampoule dans votre bureau, mais la personne finit également avoir accès à votre bureau tout entier, y compris le contenu de vos classeurs « .

La réponse Samsung

Comme on peut s`y attendre, Samsung a été protectrice sur leur Internet des intérêts des choses. La déclaration SmartThings est la suivante:

« La protection de notre vie privée des clients et la sécurité des données est fondamentale pour tout ce que nous faisons à SmartThings. Nous sommes pleinement conscients de l`Université du Michigan / rapport de recherche Microsoft et ont travaillé avec les auteurs du rapport depuis plusieurs semaines sur les moyens que nous pouvons continuer à rendre la maison intelligente plus sûre que l`industrie se développe.

Video: Samsung SmartThings Home Monitoring Kit Review +DEMO

Les vulnérabilités potentielles décrites dans le rapport sont principalement fonction de deux scénarios - l`installation d`un SmartApp malveillant ou l`échec des développeurs tiers de suivre les directives de SmartThings sur la façon de garder leur code de sécurité.

En ce qui concerne les SmartApps malveillants décrits, ceux-ci ont pas et ne devraient pas affecter jamais nos clients en raison de l`examen de certification et le code des processus SmartThings a mis en place pour assurer SmartApps malveillants ne sont pas approuvés pour publication. Afin d`améliorer encore nos processus d`approbation SmartApp et veiller à ce que les vulnérabilités potentielles décrites continuent de ne pas affecter nos clients, nous avons ajouté des exigences supplémentaires d`examen de la sécurité pour la publication de tout SmartApp.

Video: Samsung SmartThings - The Best Home Monitoring Kit?

En tant que plate-forme ouverte avec une communauté de développeurs de plus en plus actif et, SmartThings fournit des directives détaillées sur la façon de garder tout le code sécurisé et déterminer ce qui est une source de confiance. Si le code est téléchargé à partir d`une source non fiable, cela peut présenter un risque potentiel comme quand un utilisateur de PC installe le logiciel à partir d`un site tiers inconnu, il y a un risque que le logiciel peut contenir du code malveillant. À la suite de ce rapport, nous avons mis à jour nos meilleures pratiques documentées pour fournir encore plus de sécurité des directives pour les développeurs « .

Il n`est pas la première fois que Samsung ont couru sur les questions de sécurité IdO, ni un problème isolé à toute entreprise technologique unique. dispositifs IdO ont toujours été la source des problèmes de sécurité, et la majorité des utilisateurs d`explorer de nouvelles, l`Internet, les appareils en réseau ne comprennent pas pleinement la gravité de ce qu`ils font.Pourquoi Internet des choses est le plus grand cauchemar de sécuritéPourquoi Internet des choses est le plus grand cauchemar de sécuritéUn jour, vous arrivez à la maison du travail pour découvrir que votre nuage compatible système de sécurité à domicile a été violé. Comment cela pourrait-il arriver? Avec Internet des objets (IdO), vous pouvez savoir à la dure.Lire la suite

Video: SmartThings (Review) // Crash Test

Petit SmartApp étude

L`équipe de recherche a terminé même une étude certes extrêmement faible de personnes qui utilisent SmartApps, jauger leur attention sur les autorisations qu`ils accordaient.

Shockingly, 20 des 22 personnes interrogées laisseraient une application de surveillance de la batterie vérifier l`état des serrures intelligents installés dans leurs locaux, sur la prémisse de l`application enverrait des codes d`accès de la porte à un serveur distant. Il peut être un cas d`utilisateurs de ne pas avoir commis leur diligence raisonnable pour la sécurité personnelle, plus quand il implique le risque de perte grave, ou au pire, un danger personnel.

Mais aussi, ce qui est là où je compatir avec les utilisateurs, un problème majeur est que les entreprises et l`installation de la mise en œuvre des systèmes intelligents à travers des résidences privées et les entreprises ne pas offrir suffisamment de soutien éducatif aux utilisateurs.7 raisons pour lesquelles Internet des choses devrait vous faire peur7 raisons pour lesquelles Internet des choses devrait vous faire peurLes avantages potentiels de l`Internet des choses se développent lumineux, alors que les dangers sont jetés dans l`ombre calme. Il est temps d`attirer l`attention sur ces dangers avec sept promesses terrifiantes de l`IdO.Lire la suite

Bien sûr, l`utilisateur peut comprendre ce que l`installateur parle, mais ont-ils vraiment digéré le fait de leur maison entière est en réseau? Est-ce qu`ils comprennent que leur réfrigérateur est maintenant en ligne, et que leur réfrigérateur est maintenant ouvert aux mêmes vulnérabilités que leur tablette? Parce que vous pouvez parier votre dernier dollar l`utilisateur sera beaucoup plus au lieu d`un peu intangible avec les vulnérabilités de tablettes mises à jour menace pour le contenu du refroidisseur.

Ou, comme l`équipe de chercheur de l`Université du Michigan a écrit:

« Appareils domestiques intelligents et leurs plates-formes de programmation associés continueront à proliférer et resteront attrayants pour les consommateurs, car ils offrent des fonctionnalités puissantes. Cependant, les conclusions de cette étude suggèrent que la prudence est aussi bien - de la part des adopteurs précoces et de la part des concepteurs de cadres. Les risques sont importants, et ils sont peu susceptibles d`être facilement traitées par des correctifs de sécurité simples « .

Il n`y a pas lieu de paniquer. Samsung ont déjà commencé à aborder quelques-unes des principales questions abordées dans le document, mais il faudra un certain temps pour assurer que le cadre est vraiment SmartThings une plate-forme de maison intelligente vraiment sécurisée.Ce qui Smart Hub pour Home Automation est meilleur pour vous?Ce qui Smart Hub pour Home Automation est meilleur pour vous?Pendant un certain temps, les gens pensaient de l`idée que rien de plus qu`un gimmick, mais les rejets de produits récents ont montré que la domotique intelligente commence à la hauteur de ses promesses.Lire la suite

Utilisez-vous SmartThings? Voulez-vous envisager de passer à un autre cadre? Faites-nous savoir ci-dessous!

Articles connexes