Lesley Fowler
0 
1246
33
Investigadores de seguridad de la Universidad de Michigan han descubierto una serie de fallas de diseño en la plataforma SmartThings de Samsung. Las fallas potencialmente socavan la seguridad de cualquier configuración de hogar inteligente usando el ecosistema SmartThings 3 formas de proteger a su familia y su hogar con SmartThings Presence 3 formas de proteger su familia y su hogar con SmartThings Presence ¿Desea utilizar la tecnología para mantener a salvo a sus seres queridos más cercanos? Vea lo que puede hacer una presencia SmartThings para vigilar su hogar. , permitiendo que aplicaciones maliciosas desbloqueen puertas, activen falsamente alarmas, establezcan códigos de acceso a la casa, activen dispositivos desde el modo de vacaciones y una gran cantidad de otros vectores de ataque.
En una ligera gracia salvadora, uno de los ataques depende de que el usuario descargue una aplicación maliciosa de la tienda SmartThings o siga un enlace malicioso. Una vez que se descarga la aplicación maliciosa, un atacante podría llevar a cabo un asalto remoto desde cualquier parte del mundo.
Comprensiblemente, Samsung ha estado a la defensiva sobre los problemas críticos de seguridad, alegando que está operando con pleno conocimiento de los problemas y que están siendo eliminados activamente.
¿Es eso lo suficientemente bueno? ¿O debería Samsung, una compañía de tecnología multinacional, investigar activamente por qué sus productos aparentemente se envían con errores de seguridad? Vamos a ver.
Vulnerabilidades Múltiples
Investigadores de seguridad de la Universidad de Michigan idearon varias hazañas de prueba de concepto enfocadas en exponer cualquier falla potencial en el ecosistema Samsung SmartThings. Como uno de los mayores fabricantes de dispositivos IoT Ready (Internet de las cosas), incluidos refrigeradores, termostatos, hornos, puertas de seguridad, cerraduras, paneles, sensores y mucho más, no será sorprendente que sus credenciales de seguridad estén bajo escrutinio..
Los investigadores confirmaron que las fallas fueron causadas por dos fallas intrínsecas de diseño en el ecosistema SmartThings. Además, las dos fallas intrínsecas del diseño no son necesariamente fáciles de solucionar..
Los problemas se relacionan con la forma en que las aplicaciones de control de hogares inteligentes de terceros implementan el protocolo de autorización OAuth. Los investigadores descubrieron una aplicación no compatible y pudieron construir un ataque completo basado en la falla, enviando un solo enlace a la página de inicio de sesión de SmartThings, pero al mismo tiempo robando el token de inicio de sesión del usuario. Con los tokens en la mano, un atacante podría crear su propio PIN para un bloqueo inteligente, mientras que el usuario permanecería desprevenido 4 Usos realmente geniales para sensores cerrados abiertos SmartThings 4 Usos realmente geniales para sensores cerrados cerrados SmartThings El sensor abierto / cerrado está diseñado para vigilar puertas y portones, pero con algo de creatividad puede hacer mucho más. Aquí hay ideas para usar el dispositivo para hacer que su hogar sea un poco más inteligente. .
Otro exploit incluyó la explotación de una vulnerabilidad para convertir “modo vacaciones” apagado, demostrando el acceso a permisos de alto nivel. Una vez que el acceso a “modo vacaciones” se concede a un atacante, puede mitigar cualquier modo de defensa de vacaciones preprogramado, como encender y apagar al azar las luces en toda la casa, o abrir y cerrar persianas para simular una residencia ocupada.
Esto lleva a la segunda faceta del problema de seguridad de SmartThings. Para empezar, la mayoría de las aplicaciones explotadas por los investigadores no deberían tener este nivel de privilegio operativo. Los investigadores de seguridad establecieron que la tienda SmartThings contiene más de 500 aplicaciones individuales. Así es como la nueva aplicación SmartThings es un gran paso atrás. Aquí se explica cómo la nueva aplicación SmartThings es un gran paso atrás. Una actualización reciente de la aplicación SmartThings demuestra que la compañía podría estar cambiando de rumbo. Este tipo de tecnología ciertamente está cambiando, pero queda por ver si esto es para bien o para mal. ofreciendo cierto grado de control o automatización de su hogar. Luego descubrieron que más del 40% de estas aplicaciones otorgan demasiados privilegios para el trabajo a veces simple para el que fueron diseñadas..
Estas “sobre-privilegio” Las aplicaciones crean un problema de seguridad importante, aunque a menudo no es completamente culpa del diseñador. Atul Prakash, profesor de ciencias de la computación e ingeniería de la Universidad de Michigan lo explicó así:
“El acceso que SmartThings otorga por defecto está en un nivel de dispositivo completo, en lugar de ser más estrecho. Como analogía, digamos que le da permiso a alguien para cambiar la bombilla de su oficina, pero la persona también termina teniendo acceso a toda su oficina, incluido el contenido de sus archivadores.”
La respuesta de Samsung
Como era de esperar, Samsung ha sido protector con sus intereses de Internet de las cosas. La declaración de SmartThings es la siguiente:
“Proteger la privacidad y la seguridad de los datos de nuestros clientes es fundamental para todo lo que hacemos en SmartThings. Somos plenamente conscientes del informe de la Universidad de Michigan / Microsoft Research y hemos estado trabajando con los autores del informe durante las últimas semanas sobre las formas en que podemos seguir haciendo que el hogar inteligente sea más seguro a medida que la industria crece.
Las vulnerabilidades potenciales reveladas en el informe dependen principalmente de dos escenarios: la instalación de una SmartApp maliciosa o la falla de los desarrolladores externos de seguir las pautas de SmartThings sobre cómo mantener su código seguro.
Con respecto a las SmartApps maliciosas descritas, estas no afectarán y nunca afectarán a nuestros clientes debido a los procesos de certificación y revisión de código que SmartThings ha implementado para garantizar que las SmartApps maliciosas no estén aprobadas para su publicación. Para mejorar aún más nuestros procesos de aprobación de SmartApp y garantizar que las vulnerabilidades potenciales descritas continúen sin afectar a nuestros clientes, hemos agregado requisitos de revisión de seguridad adicionales para la publicación de cualquier SmartApp.
Como plataforma abierta con una comunidad de desarrolladores activa y en crecimiento, SmartThings proporciona pautas detalladas sobre cómo mantener todo el código seguro y determinar qué es una fuente confiable. Si el código se descarga de una fuente no confiable, esto puede presentar un riesgo potencial al igual que cuando un usuario de PC instala software de un sitio web desconocido de terceros, existe el riesgo de que el software contenga código malicioso. Después de este informe, hemos actualizado nuestras mejores prácticas documentadas para proporcionar una guía de seguridad aún mejor a los desarrolladores..”
No es la primera vez que Samsung se encuentra con problemas de seguridad de IoT, ni es un problema aislado de ninguna compañía de tecnología. Los dispositivos de IoT siempre han sido la fuente de problemas de seguridad, y la mayoría de los usuarios que exploran nuevos dispositivos en red listos para Internet no comprenden completamente la gravedad de lo que están haciendo. Por qué Internet de las cosas es la mayor pesadilla de seguridad Por qué Internet de Las cosas son la pesadilla de seguridad más grande Un día, llegas a casa del trabajo y descubres que se ha violado tu sistema de seguridad para el hogar habilitado para la nube. ¿Cómo pudo pasar esto? Con Internet de las cosas (IoT), puede descubrirlo de la manera difícil. .
Pequeño estudio de SmartApp
El equipo de investigación incluso completó un estudio extremadamente pequeño de personas que usan SmartApps, midiendo su atención a los permisos que estaban otorgando..
Sorprendentemente, 20 de las 22 personas entrevistadas permitirían que una aplicación de monitoreo de batería verifique el estado de las cerraduras inteligentes instaladas en sus instalaciones, en el supuesto de que la aplicación envíe códigos de acceso de puerta a un servidor remoto. Puede ser un caso de usuarios que no comprometen su diligencia debida para la seguridad personal, más aún cuando implica la posibilidad de pérdida grave o, en el peor de los casos, peligro personal.
Pero igualmente, y aquí es donde me compadezco de los usuarios, un problema importante es que las empresas que instalan e implementan sistemas inteligentes en residencias privadas y negocios no ofrecen suficiente apoyo educativo a los usuarios. 7 Razones por las cuales el Internet de las cosas debería asustarlo 7 Razones Por qué el Internet de las cosas debería asustarlo Los beneficios potenciales del Internet de las cosas se vuelven brillantes, mientras que los peligros se proyectan en las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete terribles promesas de IoT. .
Claro, el usuario podría entender de qué está hablando el instalador, pero ¿realmente han asimilado el hecho de que toda su casa está conectada en red? ¿Entienden que su refrigerador ahora está en línea? 5 Dispositivos que NO desea conectar a Internet de las cosas 5 Dispositivos que NO desea conectarse a Internet de las cosas Es posible que Internet de las cosas (IoT) no sea todo lo que está hecho. ser. De hecho, hay algunos dispositivos inteligentes que quizás no desee conectar a la web. , y que su refrigerador ahora está abierto a las mismas vulnerabilidades que su tableta? Debido a que puede apostar su último dólar, el usuario estará mucho más actualizado con las vulnerabilidades de la tableta en lugar de una amenaza algo intangible para el contenido de la enfriadora Smart Fridge de Samsung que acaba de ponerse. ¿Qué tal el resto de su casa inteligente? El Smart Fridge de Samsung acaba de comenzar. ¿Qué tal el resto de su casa inteligente? La firma de pruebas Pen Test Parters, con sede en el Reino Unido, descubrió una vulnerabilidad con el refrigerador inteligente de Samsung. La implementación de encriptación SSL de Samsung no verifica la validez de los certificados. .
O, como escribió el equipo de investigadores de la Universidad de Michigan:
“Los dispositivos domésticos inteligentes y sus plataformas de programación asociadas continuarán proliferando y seguirán siendo atractivos para los consumidores porque brindan una funcionalidad potente. Sin embargo, los hallazgos en este documento sugieren que también se justifica la precaución, tanto por parte de los primeros usuarios como por parte de los diseñadores de marcos. Los riesgos son significativos y es poco probable que se aborden fácilmente mediante simples parches de seguridad..”
No hay necesidad de entrar en pánico. Samsung ya ha comenzado a abordar algunos de los principales problemas destacados en el documento, aunque llevará algún tiempo garantizar que el marco SmartThings sea realmente una plataforma de hogar inteligente verdaderamente segura ¿Qué Smart Hub para la automatización del hogar es mejor para usted? ¿Qué Smart Hub para domótica es mejor para usted? Durante un tiempo, la gente pensó en la idea como nada más que un truco, pero los lanzamientos recientes de productos han demostrado que la automatización del hogar inteligente está comenzando a cumplir sus promesas.. .
¿Usas SmartThings? ¿Considerará cambiar a un marco diferente? Háganos saber a continuación!
Crédito de imagen: Alexander Kirch a través de Shutterstock