Casa inteligente

Error de seguridad de Samsung SmartThings Lo que necesita saber

Error de seguridad de Samsung SmartThings Lo que necesita saber / Casa inteligente

Investigadores de seguridad de la Universidad de Michigan han descubierto una serie de fallas de diseño en la plataforma SmartThings de Samsung. Las fallas pueden socavar la seguridad de cualquier configuración de casa inteligente utilizando el ecosistema de SmartThings 3 maneras de proteger a su familia y su hogar con presencia de SmartThings 3 formas de proteger a su familia y hogar con la presencia de SmartThings ¿Quiere usar la tecnología para mantener a sus seres queridos más cercanos y más seguros? Vea lo que puede hacer una Presencia de SmartThings para vigilar su hogar. Lea más, permitiendo que las aplicaciones malintencionadas abran puertas, activen falsamente alarmas, establezcan códigos de acceso al hogar, activen dispositivos desde el modo vacaciones y una gran cantidad de otros vectores de ataque..

Para salvar un poco, uno de los ataques depende de que el usuario descargue una aplicación maliciosa de la tienda SmartThings o siga un enlace malicioso. Una vez que se descarga la aplicación maliciosa, un atacante podría realizar un asalto remoto desde cualquier lugar del mundo..

Comprensiblemente, Samsung ha estado a la defensiva sobre los problemas críticos de seguridad, afirmando que está operando con pleno conocimiento de los problemas y que están siendo eliminados activamente..

¿Es eso lo suficientemente bueno? ¿O debería Samsung, una empresa multinacional de tecnología, investigar activamente por qué sus productos aparentemente se envían con errores de seguridad? Vamos a ver.

Vulnerabilidades múltiples

Investigadores de seguridad de la Universidad de Michigan idearon varias vulnerabilidades de prueba de concepto centradas en exponer cualquier falla potencial en el ecosistema Samsung SmartThings. Como uno de los mayores fabricantes de dispositivos IoT Ready (Internet of Things), incluidos frigoríficos, termostatos, hornos, puertas de seguridad, cerraduras, paneles, sensores y mucho más, no sorprenderá que sus credenciales de seguridad estén bajo escrutinio..

Los investigadores confirmaron que las fallas fueron causadas por dos fallas de diseño intrínseco en el ecosistema de SmartThings. Además, las dos fallas de diseño intrínseco no son necesariamente fáciles de solucionar.

Los problemas se relacionan con la forma en que las aplicaciones de control del hogar inteligente de terceros implementan el protocolo de autorización OAuth. Los investigadores descubrieron una aplicación no compatible, y pudieron crear un ataque completo basado en la falla, enviando un solo enlace a la página de inicio de sesión de SmartThings real, pero robando el token de inicio de sesión del usuario al mismo tiempo. Con los tokens en la mano, un atacante podría crear su propio PIN para un bloqueo inteligente mientras que el usuario permanecería desprevenido 4 Usos realmente geniales para los sensores cerrados abiertos de SmartThings 4 Usos realmente geniales para los sensores cerrados abiertos de SmartThings El sensor Abierto / Cerrado está diseñado para Vigile puertas y portones, pero con algo de creatividad puede hacer mucho más. Aquí hay ideas para usar el dispositivo para hacer de su hogar un poco más inteligente. Lee mas .

Otro exploit incluía la explotación de una vulnerabilidad para convertir “modo vacaciones” off, demostrando acceso a permisos de alto nivel. Una vez acceso a “modo vacaciones” se otorga a un atacante, pueden mitigar cualquier modo de defensa de vacaciones preprogramado, como encender y apagar luces en toda la casa, o abrir y cerrar persianas para simular una residencia ocupada.

Esto lleva a la segunda faceta del problema de seguridad de SmartThings. La mayoría de las aplicaciones explotadas por los investigadores no deberían tener este nivel de privilegio operativo para empezar. Los investigadores de seguridad establecieron que la tienda SmartThings contiene más de 500 aplicaciones individuales. Cómo es que la nueva aplicación SmartThings es un paso importante hacia atrás. Aquí es cómo la nueva aplicación SmartThings es un paso importante hacia atrás. Una actualización reciente de la aplicación SmartThings demuestra que la compañía podría estar cambiando de rumbo. Este tipo de tecnología ciertamente está cambiando, pero aún está por verse si es para bien o para mal. Leer más ofreciendo cierto grado de control o automatización de su hogar. Luego encontraron que más del 40% de estas aplicaciones otorgan demasiados privilegios para el trabajo a veces simple para el que fueron diseñadas..

Estas “exceso de privilegios” Las aplicaciones crean un problema de seguridad importante, aunque a menudo no es totalmente culpa del diseñador. Atul Prakash, profesor de ciencias informáticas e ingeniería de la Universidad de Michigan, lo explicó así:

“El acceso que SmartThings otorga de forma predeterminada se encuentra en un nivel de dispositivo completo, en lugar de uno más estrecho. Como analogía, supongamos que le da permiso a alguien para cambiar la bombilla de su oficina, pero la persona también obtiene acceso a toda su oficina, incluido el contenido de sus archivadores..”

La respuesta de Samsung

Como es de esperar, Samsung ha sido protector con respecto a sus intereses de Internet de las Cosas. La declaración de SmartThings es la siguiente:

“Proteger la privacidad y la seguridad de los datos de nuestros clientes es fundamental para todo lo que hacemos en SmartThings. Somos plenamente conscientes del informe de investigación de la Universidad de Michigan / Microsoft y hemos estado trabajando con los autores del informe durante las últimas semanas en formas en que podemos continuar haciendo que el hogar inteligente sea más seguro a medida que la industria crece..

Las posibles vulnerabilidades reveladas en el informe dependen principalmente de dos escenarios: la instalación de una aplicación inteligente maliciosa o el hecho de que terceros desarrolladores no sigan las pautas de SmartThings sobre cómo mantener seguro su código.

En lo que respecta a las SmartApps maliciosas descritas, éstas no han impactado ni afectarán a nuestros clientes debido a los procesos de certificación y revisión del código que SmartThings implementó para garantizar que las SmartApps maliciosas no estén aprobadas para su publicación. Para mejorar aún más nuestros procesos de aprobación de SmartApp y garantizar que las posibles vulnerabilidades descritas no afecten a nuestros clientes, hemos agregado requisitos adicionales de revisión de seguridad para la publicación de cualquier SmartApp.

Como una plataforma abierta con una comunidad de desarrolladores activa y en crecimiento, SmartThings proporciona pautas detalladas sobre cómo mantener todo el código seguro y determinar qué es una fuente confiable. Si el código se descarga de una fuente no confiable, esto puede presentar un riesgo potencial, como cuando un usuario de PC instala software de un sitio web de un tercero desconocido, existe el riesgo de que el software contenga códigos maliciosos. Después de este informe, hemos actualizado nuestras mejores prácticas documentadas para proporcionar una mejor guía de seguridad para los desarrolladores.”

No es la primera vez que Samsung se encuentra con problemas de seguridad de IoT, ni es un problema aislado para una sola empresa de tecnología. Los dispositivos IoT siempre han sido la fuente de problemas de seguridad, y la mayoría de los usuarios que exploran nuevos dispositivos conectados en red y listos para Internet no comprenden completamente la gravedad de lo que están haciendo. Por qué el Internet de las cosas es la mayor pesadilla de seguridad Por qué el Internet de Las cosas son la pesadilla de seguridad más grande Un día, llega a casa del trabajo para descubrir que su sistema de seguridad residencial habilitado para la nube ha sido violado. ¿Cómo pudo pasar esto? Con Internet of Things (IoT), puedes descubrirlo de la manera más difícil. Lee mas .

Pequeño estudio de SmartApp

El equipo de investigación incluso completó un estudio extremadamente pequeño de personas que usaban SmartApps, atrayendo su atención a los permisos que otorgaban.

Sorprendentemente, 20 de las 22 personas entrevistadas permitirían que una aplicación de monitoreo de batería verificara el estado de las cerraduras inteligentes instaladas en sus instalaciones, en la premisa de que la aplicación enviaría los códigos de acceso de la puerta a un servidor remoto. Puede ser un caso en el que los usuarios no cometan su diligencia debida para la seguridad personal, más aún cuando se trata de la posibilidad de una pérdida grave o, en el peor de los casos, del peligro personal..

Pero igualmente, y aquí es donde me compadezco con los usuarios, un problema importante es que las empresas que instalan e implementan sistemas inteligentes en residencias privadas y empresas no ofrecen suficiente apoyo educativo a los usuarios 7 razones por las que Internet de las cosas debería asustarlo 7 razones Por qué la Internet de las cosas debería asustarte Los beneficios potenciales de la Internet de las cosas crecen, mientras que los peligros se proyectan en las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete prometedoras promesas del IoT. Lee mas .

Claro, el usuario podría entender ¿De qué está hablando el instalador, pero realmente han digerido el hecho de que toda su casa está conectada en red? ¿Comprenden que su refrigerador está ahora en línea? 5 Dispositivos que NO quiere conectarse a Internet de las Cosas 5 Dispositivos que NO desea conectarse a Internet de las Cosas El Internet de las Cosas (IoT) puede no ser todo lo que está roto. ser. De hecho, hay algunos dispositivos inteligentes que tal vez no quiera conectarse a la web. ¿Leer más, y que su refrigerador ahora está abierto a las mismas vulnerabilidades que su tableta? Debido a que puede apostar su último dólar, el usuario estará mucho más actualizado con las vulnerabilidades de la tableta en lugar de ser una amenaza un tanto intangible para el contenido del refrigerador Frigorífico Smart de Samsung que acaba de recibir. ¿Qué tal el resto de su casa inteligente? La nevera inteligente de Samsung acaba de ser lanzada. ¿Qué tal el resto de su casa inteligente? Una vulnerabilidad con el refrigerador inteligente de Samsung fue descubierta por la empresa de infoseción en el Reino Unido, Pen Test Parters. La implementación del cifrado SSL de Samsung no comprueba la validez de los certificados. Lee mas .

O, como el equipo de investigadores de la Universidad de Michigan escribió:

“Los dispositivos domésticos inteligentes y sus plataformas de programación asociadas continuarán proliferando y seguirán siendo atractivos para los consumidores porque brindan una funcionalidad poderosa. Sin embargo, los hallazgos de este documento sugieren que la precaución también está justificada, por parte de los primeros usuarios y por parte de los diseñadores de marcos. Los riesgos son significativos y es poco probable que se puedan abordar fácilmente mediante simples parches de seguridad.”

No hay necesidad de entrar en pánico. Samsung ya ha comenzado a abordar algunos de los principales problemas destacados en el documento, aunque tomará un tiempo asegurarse de que el marco de SmartThings sea realmente una plataforma de hogar inteligente verdaderamente segura. ¿Qué Smart Hub para automatización del hogar es el mejor para usted? ¿Qué Smart Hub para automatización del hogar es el mejor para usted? Por un tiempo, la gente pensó que la idea no era más que un truco, pero los últimos lanzamientos de productos han demostrado que la automatización inteligente del hogar está comenzando a cumplir sus promesas. Lee mas .

¿Utilizas SmartThings? ¿Considerarías cambiar a un marco diferente? Háganos saber a continuación!

Crédito de la imagen: Alexander Kirch a través de Shutterstock