Maison intelligente

Faille de sécurité Samsung SmartThings Ce que vous devez savoir

Faille de sécurité Samsung SmartThings Ce que vous devez savoir / Maison intelligente

Des chercheurs en sécurité de l'Université du Michigan ont découvert un certain nombre de défauts de conception dans la plate-forme SmartThings de Samsung. Les failles risquent de compromettre la sécurité de toutes les configurations de maison intelligente utilisant l'écosystème SmartThings. Trois façons de protéger votre famille et votre maison avec SmartThings Presence Trois façons de protéger votre famille et votre maison avec SmartThings Presence Vous souhaitez utiliser la technologie pour protéger vos proches en toute sécurité? Découvrez ce que peut faire une présence SmartThings pour garder un œil vigilant sur votre maison. En savoir plus, permettant à des applications malveillantes de déverrouiller les portes, d'activer faussement des alarmes, de définir des codes d'accès domestiques, de sortir des périphériques du mode vacances et de nombreux autres vecteurs d'attaque.

Pour économiser un peu, l'une des attaques dépend du téléchargement d'une application malveillante à partir du magasin SmartThings par l'utilisateur ou du suivi d'un lien malveillant. Une fois l'application malveillante téléchargée, un attaquant pourrait effectivement mener un assaut à distance de n'importe où dans le monde..

De manière compréhensible, Samsung a été sur la défensive face aux problèmes de sécurité critiques, affirmant qu’elle opérait en toute connaissance de cause et qu’ils étaient activement supprimés..

Est-ce suffisant? Ou bien Samsung, une multinationale spécialisée dans les technologies, devrait-elle rechercher activement pourquoi leurs produits sont apparemment livrés avec des problèmes de sécurité? Nous allons jeter un coup d'oeil.

Vulnérabilités Multiples

Des chercheurs en sécurité de l'Université du Michigan ont mis au point plusieurs démonstrations de concept visant à mettre en évidence les défaillances potentielles de l'écosystème Samsung SmartThings. En tant que l’un des plus grands fabricants d’appareils IoT Ready (Internet des objets), notamment des réfrigérateurs, des thermostats, des fours, des portes de sécurité, des serrures, des panneaux, des capteurs et bien d’autres choses encore, il n’est pas surprenant que leurs références de sécurité soient surveillées.

Les chercheurs ont confirmé que les défauts étaient causés par deux défauts de conception intrinsèques dans l'écosystème SmartThings. De plus, les deux défauts de conception intrinsèques ne sont pas nécessairement faciles à corriger..

Les problèmes concernent la manière dont les applications tierces de contrôle de la maison intelligente mettent en œuvre le protocole d'autorisation. OAuth. Les chercheurs ont découvert une application non conforme et ont pu créer une attaque complète autour de la faille, en envoyant un seul lien vers la page de connexion SmartThings proprement dite, tout en dérobant le jeton de connexion de l'utilisateur. Avec les jetons en main, un attaquant pourrait créer son propre code PIN pour un verrou intelligent, tandis que l'utilisateur resterait au dépourvu. 4 Utilisations vraiment cool pour les capteurs SmartThings ouverts et fermés 4 Utilisations vraiment cool pour les capteurs SmartThings ouverts et fermés Le capteur ouvert / fermé est destiné à surveiller les portes et les portes, mais avec un peu de créativité, il peut faire beaucoup plus. Voici quelques idées pour utiliser l'appareil afin de rendre votre maison un peu plus intelligente. Lire la suite .

L’exploitation d’une vulnérabilité a été un autre exploit. “mode vacances” off, démontrant l'accès aux autorisations de haut niveau. Une fois l'accès à “mode vacances” est attribué à un attaquant, ils peuvent atténuer les modes de défense de vacances préprogrammés, tels que le fait d’allumer les lumières de façon aléatoire dans toute la maison, ou d’ouvrir et de fermer les stores pour simuler une résidence occupée.

Cela conduit à la deuxième facette du problème de sécurité SmartThings. La plupart des applications exploitées par les chercheurs ne devraient pas avoir ce niveau de privilège d'exploitation pour commencer. Les chercheurs en sécurité ont établi que la boutique SmartThings contenait plus de 500 applications individuelles. Voici comment la nouvelle application SmartThings constitue un important pas en arrière. Voici comment la nouvelle application SmartThings constitue un important retour en arrière. Ce type de technologie est certes en train de changer, mais il reste à voir si c'est pour le meilleur ou pour le pire. Lire la suite offrant un certain degré de contrôle ou d'automatisation de votre maison. Ils ont ensuite découvert que plus de 40% de ces applications accordaient trop de privilèges pour le travail parfois simple pour lequel ils avaient été conçus..

Celles-ci “trop de privilège” Les applications créent un problème de sécurité important, même si ce n’est souvent pas entièrement la faute du concepteur. Atul Prakash, professeur d'informatique et d'ingénierie à l'Université du Michigan, l'expliquait ainsi:

“L'accès accordé par SmartThings par défaut est au niveau de l'appareil complet, plutôt que plus étroit. Par analogie, disons que vous autorisez quelqu'un à changer l'ampoule de votre bureau, mais que cette personne finit également par avoir accès à l'ensemble de votre bureau, y compris au contenu de vos classeurs..”

La réponse de Samsung

Comme vous vous en doutez, Samsung a su protéger ses intérêts dans l’Internet des objets. L'instruction SmartThings est la suivante:

“La protection de la confidentialité et de la sécurité des données de nos clients est fondamentale pour tout ce que nous faisons chez SmartThings. Nous connaissons parfaitement le rapport de l'Université du Michigan et de Microsoft Research et travaillons avec les auteurs du rapport depuis plusieurs semaines pour trouver des moyens de continuer à sécuriser davantage la maison intelligente à mesure que l'industrie se développe..

Les vulnérabilités potentielles révélées dans le rapport dépendent principalement de deux scénarios: l'installation d'une SmartApp malveillante ou le fait que des développeurs tiers ne respectent pas les instructions de SmartThings sur la protection de leur code..

En ce qui concerne les SmartApp malveillantes décrites, celles-ci n'ont pas et n'auront jamais d'impact sur nos clients en raison des processus de certification et de révision du code que SmartThings a mis en place pour garantir que leur publication ne sera pas approuvée. Pour améliorer encore nos processus d'approbation SmartApp et nous assurer que les vulnérabilités potentielles décrites ne touchent plus nos clients, nous avons ajouté des exigences supplémentaires en matière de contrôle de la sécurité pour la publication de toute SmartApp..

En tant que plate-forme ouverte avec une communauté de développeurs active et en croissance, SmartThings fournit des instructions détaillées sur la façon de protéger tout le code et de déterminer ce qu'est une source fiable. Si le code est téléchargé à partir d'une source non fiable, cela peut présenter un risque potentiel, tout comme lorsqu'un utilisateur d'ordinateur installe un logiciel à partir d'un site Web tiers inconnu. Il existe un risque que le logiciel contienne un code malveillant. Suite à ce rapport, nous avons mis à jour nos meilleures pratiques documentées afin de fournir des conseils de sécurité encore meilleurs aux développeurs..”

Ce n’est pas la première fois que Samsung est confronté à des problèmes de sécurité IoT, pas plus qu’un problème isolé d’une entreprise technologique unique. Les appareils IoT ont toujours été à l'origine de problèmes de sécurité, et la majorité des utilisateurs explorant de nouveaux appareils en réseau, prêts pour Internet, ne comprennent pas parfaitement la gravité de ce qu'ils font. Pourquoi l'Internet des objets est le plus grand cauchemar en matière de sécurité Pourquoi Internet Les choses sont le plus grand cauchemar de sécurité Un jour, vous rentrez du travail à la maison pour découvrir que votre système de sécurité domestique en nuage avait été violé. Comment cela pourrait-il arriver? Avec l'Internet des objets (IoT), vous pouvez le découvrir à la dure. Lire la suite .

Petite étude SmartApp

L’équipe de recherche a même réalisé une étude certes extrêmement réduite sur les utilisateurs d’applications intelligentes, en se basant sur les autorisations qu’ils accordaient..

Étonnamment, 20 des 22 personnes interrogées laissaient une application de surveillance de la batterie vérifier l'état des serrures intelligentes installées dans leurs locaux, sur le lieu où l'application enverrait les codes d'accès des portes à un serveur distant. Il se peut que des utilisateurs n'engagent pas leur devoir de diligence en matière de sécurité personnelle, surtout lorsqu'il s'agit d'un risque de perte grave ou, au pire, de danger personnel..

Mais tout aussi, et c’est là que je compatis avec les utilisateurs, un problème majeur est que les entreprises qui installent et mettent en œuvre des systèmes intelligents dans des résidences privées et des entreprises n’offrent pas un support pédagogique suffisant pour les utilisateurs. 7 raisons pour lesquelles l’Internet des objets devrait vous effrayer 7 raisons Pourquoi l'Internet des objets doit-il vous effrayer? Les avantages potentiels de l'Internet des objets deviennent brillants, alors que les dangers sont projetés dans l'ombre. Il est temps d'attirer l'attention sur ces dangers avec sept promesses terrifiantes de l'IdO. Lire la suite .

Bien sûr, l'utilisateur peut comprendre de quoi parle l'installateur, mais ont-ils vraiment digéré le fait que toute leur maison est en réseau? Comprennent-ils que leur réfrigérateur est maintenant en ligne? 5 appareils que vous ne voulez PAS connecter à l'Internet des objets 5 appareils que vous ne voulez PAS vous connecter à l'Internet des objets L'Internet des objets (IoT) n'est peut-être pas tout ce qu'il a craqué être. En fait, il existe certains appareils intelligents avec lesquels vous ne souhaitez peut-être pas vous connecter au Web. Lire la suite et que leur réfrigérateur est maintenant ouvert aux mêmes vulnérabilités que leur tablette? Parce que vous pouvez parier votre dernier dollar, l'utilisateur sera bien plus à jour avec les vulnérabilités des tablettes qu'avec une menace un peu intangible pour le contenu du refroidisseur Smart de Fridge, le refroidisseur Samsung, vient d'être acheté. Qu'en est-il du reste de votre maison intelligente? Le réfrigérateur intelligent de Samsung vient juste d'être acheté. Qu'en est-il du reste de votre maison intelligente? Une vulnérabilité avec le réfrigérateur intelligent de Samsung a été découverte par la société d’informations britannique Pen Test Parters. L'implémentation du cryptage SSL par Samsung ne vérifie pas la validité des certificats. Lire la suite .

Ou, comme l’a écrit l’équipe de chercheurs de l’Université du Michigan:

“Les appareils Smart Home et leurs plates-formes de programmation associées continueront à proliférer et resteront attractifs pour les consommateurs car ils fournissent des fonctionnalités puissantes. Cependant, les conclusions de ce document suggèrent que la prudence s'impose également - de la part des utilisateurs précoces et des concepteurs de cadres. Les risques sont importants et il est peu probable qu'ils soient facilement gérés par de simples correctifs de sécurité..”

Il n'y a pas besoin de paniquer. Samsung a déjà commencé à traiter certains des principaux problèmes soulignés dans le document, mais il faudra un certain temps pour que le cadre SmartThings soit véritablement une plate-forme de maison intelligente véritablement sécurisée. Quel est le meilleur hub pour la domotique? Quel Smart Hub pour la domotique vous convient le mieux? Pendant un certain temps, l'idée n'était plus qu'un gadget, mais les dernières versions de produits ont montré que la domotique intelligente commence à tenir ses promesses. Lire la suite .

Utilisez-vous SmartThings? Allez-vous envisager de changer de cadre? Faites-nous savoir ci-dessous!

Crédit d'image: Alexander Kirch via Shutterstock