Des chercheurs en sécurité de l'Université du Michigan ont découvert un certain nombre de défauts de conception dans la plate-forme SmartThings de Samsung. Les failles peuvent compromettre la sécurité des configurations de maisons intelligentes utilisant l'écosystème SmartThings 3 façons de protéger votre famille et votre maison avec SmartThings Présence 3 façons de protéger votre famille et votre domicile avec SmartThings Présence Vous voulez utiliser la technologie pour garder vos proches? Découvrez ce qu'une SmartThings Presence peut faire pour garder un œil vigilant sur votre maison. En savoir plus, permettant à des applications malveillantes de déverrouiller des portes, de déclencher des alarmes erronées, de définir des codes d'accès à la maison, de réveiller des appareils en mode vacances et une foule d'autres vecteurs d'attaque.
Dans un souci d'économie légère, l'une des attaques dépend de l'utilisateur qui télécharge une application malveillante à partir du magasin SmartThings, ou en suivant un lien malveillant. Une fois que l'application malveillante est téléchargée, un attaquant pourrait effectivement mener une attaque à distance depuis n'importe où dans le monde.
Naturellement, Samsung s'est montré défensif à propos des problèmes de sécurité critiques, prétendant qu'il fonctionne en toute connaissance de cause et qu'il est activement éliminé.
Est-ce suffisant? Ou est-ce que Samsung, une société multinationale de technologie, devrait chercher activement à savoir pourquoi leurs produits semblent être livrés avec des bogues de sécurité? Nous allons jeter un coup d'oeil.
Vulnérabilités multiples
Les chercheurs en sécurité de l'Université du Michigan ont mis au point plusieurs exploits de validation de principe visant à exposer les défaillances potentielles de l'écosystème Samsung SmartThings. En tant que l'un des plus grands fabricants d'appareils IoT Ready (Internet des objets), y compris les réfrigérateurs, thermostats, fours, portes de sécurité, serrures, panneaux, capteurs et bien plus encore, il n'est pas surprenant que leurs titres de sécurité soient sous surveillance .
Les chercheurs ont confirmé que les failles étaient dues à deux défauts intrinsèques de conception de l'écosystème SmartThings. Qui plus est, les deux défauts de conception intrinsèques ne sont pas nécessairement faciles à résoudre.
Les problèmes concernent la manière dont les applications tierces de contrôle domestique intelligent implémentent le protocole d'autorisation OAuth . Les chercheurs ont découvert une application non conforme et ont réussi à créer une attaque complète basée sur la faille, envoyant un seul lien vers la page de connexion SmartThings, mais en volant le jeton de connexion de l'utilisateur en même temps. Avec les jetons en main, un attaquant pourrait créer son propre code secret pour un verrou intelligent pendant que l'utilisateur resterait au dépourvu 4 Utilisations vraiment cool pour SmartThings Ouverture des capteurs fermés 4 Utilisations vraiment froides pour SmartThings Capteurs fermés ouverts Le capteur ouvert / fermé est destiné à surveiller les portes et les portes, mais avec un peu de créativité, il peut faire beaucoup plus. Voici des idées pour utiliser l'appareil pour rendre votre maison un peu plus intelligente. Lire la suite .
Un autre exploit incluait l'exploitation d'une vulnérabilité pour désactiver le «mode vacances», démontrant ainsi l'accès à des permissions de haut niveau. Une fois que l'accès au «mode vacances» est accordé à un attaquant, il peut atténuer tous les modes de défense préprogrammés, tels que l'éclairage aléatoire de toute la maison ou l'ouverture et la fermeture de stores pour simuler une résidence occupée.
Cela conduit à la deuxième facette du problème de sécurité SmartThings. La plupart des applications exploitées par les chercheurs ne devraient pas avoir ce niveau de privilège d'exploitation pour commencer. Les chercheurs en sécurité ont créé le magasin SmartThings contient plus de 500 applications individuelles Voici comment la nouvelle application SmartThings est un pas en arrière Voici comment la nouvelle application SmartThings est un pas en arrière Une mise à jour récente de l'application SmartThings montre que l'entreprise pourrait changer de cap. Ce type de technologie est certainement en train de changer, mais il reste à voir si c'est pour le meilleur ou pour le pire. Lire la suite offrant un certain degré de contrôle ou d'automatisation de votre maison. Ils ont ensuite constaté que plus de 40% de ces applications accordaient trop de privilèges pour le travail parfois simple pour lequel elles étaient conçues.
Ces applications «over-privilege» créent un problème de sécurité important, même si ce n'est souvent pas entièrement la faute du concepteur. Atul Prakash, professeur d'informatique et d'ingénierie à l'Université du Michigan l'a expliqué comme suit:
"L'accès SmartThings accorde par défaut est à un niveau de périphérique complet, plutôt que plus étroit. Par analogie, disons que vous donnez la permission à quelqu'un de changer l'ampoule de votre bureau, mais la personne finit par avoir accès à l'ensemble de votre bureau, y compris le contenu de vos classeurs.
La réponse de Samsung
Comme vous vous en doutez, Samsung a protégé ses intérêts de l'Internet des Objets. L'instruction SmartThings est la suivante:
"La protection de la vie privée et de la sécurité des données de nos clients est fondamentale pour tout ce que nous faisons chez SmartThings. Nous sommes pleinement conscients du rapport de l'Université du Michigan / Microsoft Research et travaillons avec les auteurs du rapport depuis plusieurs semaines sur les moyens de continuer à rendre la maison intelligente plus sûre à mesure que l'industrie se développe.
Les vulnérabilités potentielles divulguées dans le rapport dépendent principalement de deux scénarios: l'installation d'une SmartApp malveillante ou l'échec de développeurs tiers à suivre les directives de SmartThings sur la manière de protéger leur code.
En ce qui concerne les SmartApps malveillants décrits, ceux-ci n'ont pas et n'auront jamais d'impact sur nos clients en raison des processus de certification et de révision de code mis en place par SmartThings pour garantir que les SmartApp malveillants ne sont pas approuvés pour publication. Pour améliorer encore nos processus d'approbation SmartApp et veiller à ce que les vulnérabilités potentielles décrites ne continuent pas d'affecter nos clients, nous avons ajouté des exigences de révision de sécurité supplémentaires pour la publication de toute SmartApp.
En tant que plate-forme ouverte avec une communauté de développeurs active et en pleine croissance, SmartThings fournit des directives détaillées sur la manière de sécuriser tout le code et de déterminer ce qu'est une source fiable. Si le code est téléchargé à partir d'une source non fiable, cela peut présenter un risque potentiel, tout comme lorsqu'un utilisateur PC installe un logiciel à partir d'un site Web tiers inconnu, il y a un risque que le logiciel contienne du code malveillant. Suite à ce rapport, nous avons mis à jour nos meilleures pratiques documentées afin de fournir des conseils de sécurité encore meilleurs aux développeurs. "
Ce n'est pas la première fois que Samsung se heurte à des problèmes de sécurité IoT, et ce n'est pas un problème isolé pour une seule entreprise de technologie. Les appareils IoT ont constamment été la source de problèmes de sécurité, et une majorité d'utilisateurs explorant de nouveaux appareils en réseau prêts pour Internet ne comprennent pas la gravité de ce qu'ils font Pourquoi l'Internet des Objets est le plus grand cauchemar de sécurité Pourquoi Internet de Les choses sont le plus grand cauchemar de sécurité Un jour, vous arrivez à la maison du travail pour découvrir que votre système de sécurité à la maison activé par nuage a été violé. Comment cela pourrait-il arriver? Avec Internet of Things (IoT), vous pouvez découvrir à la dure. Lire la suite .
Petite étude SmartApp
L'équipe de recherche a même complété une étude, certes très réduite, de personnes utilisant des SmartApps, évaluant leur attention sur les autorisations qu'elles accordaient.
De manière choquante, 20 des 22 personnes interrogées laisseraient une application de surveillance de la batterie vérifier l'état des verrous intelligents installés dans leurs locaux, dans la mesure où l'application enverrait des codes d'accès de porte à un serveur distant. Il peut s'agir d'utilisateurs qui ne font pas preuve de diligence raisonnable en matière de sécurité personnelle, d'autant plus que cela peut entraîner une perte grave ou, au pire, un danger personnel.
Mais aussi, et c'est là que je compatis avec les utilisateurs, un problème majeur est que les entreprises installant et mettant en œuvre des systèmes intelligents dans les résidences privées et les entreprises n'offrent pas assez de soutien éducatif aux utilisateurs 7 Raisons pour lesquelles l'Internet des choses devrait Pourquoi l'Internet des objets devrait vous effrayer Les avantages potentiels de l'Internet des objets deviennent brillants, tandis que les dangers sont jetés dans l'ombre. Il est temps d'attirer l'attention sur ces dangers avec sept promesses terrifiantes de l'IoT. Lire la suite .
Bien sûr, l'utilisateur peut comprendre ce dont parle l'installateur, mais ont-ils vraiment digéré le fait que toute la maison est en réseau? Est-ce qu'ils comprennent que leur réfrigérateur est maintenant en ligne? 5 Appareils que vous ne voulez pas connecter à l'Internet des objets 5 Appareils que vous ne voulez pas connecter à l'Internet des objets L'Internet des objets (IoT) n'est peut-être pas tout être. En fait, il y a des appareils intelligents que vous ne voulez peut-être pas du tout connecter au Web. Lire la suite, et que leur réfrigérateur est maintenant ouvert aux mêmes vulnérabilités que leur tablette? Parce que vous pouvez parier votre dollar bas l'utilisateur sera bien plus à jour avec les vulnérabilités de la tablette plutôt que d'une menace quelque peu intangible pour le contenu du réfrigérateur Smart Fridge Just Got Pwned de Samsung. Que diriez-vous du reste de votre maison intelligente? Smart Fridge de Samsung Just Got Pwned. Que diriez-vous du reste de votre maison intelligente? Une faille avec le réfrigérateur intelligent de Samsung a été découverte par Pen Test Parters, société d'information basée au Royaume-Uni. La mise en œuvre du cryptage SSL par Samsung ne vérifie pas la validité des certificats. Lire la suite .
Ou, comme l'équipe de chercheurs de l'Université du Michigan a écrit:
"Les appareils domestiques intelligents et leurs plates-formes de programmation associées continueront à proliférer et resteront attrayants pour les consommateurs, car ils offrent de puissantes fonctionnalités. Cependant, les conclusions de ce document suggèrent que la prudence s'impose également - de la part des adopteurs précoces et des concepteurs du cadre. Les risques sont importants et il est peu probable qu'ils soient facilement traités par de simples correctifs de sécurité. "
Il n'y a pas besoin de paniquer. Samsung a déjà commencé à aborder certains des principaux problèmes mis en évidence dans le document, mais il faudra un certain temps pour s'assurer que le cadre SmartThings est vraiment une plate-forme de maison intelligente vraiment sécurisée Quel est le meilleur pour vous? Quel Smart Hub pour la domotique est le meilleur pour vous? Pendant un certain temps, les gens ont pensé que l'idée n'était rien d'autre qu'un gadget, mais les récentes sorties de produits ont montré que la domotique intelligente commence à tenir ses promesses. Lire la suite .
Utilisez-vous SmartThings? Considérerez-vous passer à un cadre différent? Faites-nous savoir ci-dessous!
Crédit d'image: Alexander Kirch via Shutterstock