Berta Sándor
Sebezhető a Samsung okosház-platformja
Néhány hibát már kijavítottak a szakemberek.
A Michigani Egyetem és a Microsoft Research kutatói hívták fel a figyelmet a Samsung SmartThings platformjával kapcsolatos biztonsági problémákra. A kutatók megállapították, hogy a Samsung által 2014 augusztusában felvásárolt SmartThings platformot komoly tervezési hiányosságok jellemzik. Nem tartott sokáig, amíg sikerült olyan támadási eljárásokat kifejleszteni, amelyek kihasználják ezeket a hibákat.
A különböző hiányosságok és rések miatt a támadók képesek lehetnek különböző módokon manipulálni a kapcsolódó dolgok internete (IoT) termékeket. A szakembereknek sikerült többek között a bejárati ajtó PIN-kódját megszerezve azt kinyitniuk, a felhasználók belegyezése nélkül új virtuális kulcsokat létrehozniuk és ellenőrizniük a tűzjelző rendszereket. Emellett képesek voltak az úgynevezett "szabadságra mentem" üzemmódot kikapcsolni, melynek során a betörők megtévesztésére bizonyos időközönként automatikusan meghatározott fény- és biztonsági beállításokat alkalmaznak, amikor a felhasználó nincs otthon.
A Michigani Egyetem és a Microsoft Research munkatársai biztonsági tesztek során demonstrálták, hogy miként lehet manipulálni egy IoT-rendszer által használt alkalmazást. A SmartThings szoftverboltjának kínálatában jelenleg több mint 500 lakásvezérlő program található, ezek közül sok olyan hozzáférési jogokat kér magának, amelyekre a működésükhöz nincs is szükség. Ez az alkalmazások több mint 40 százalékáról mondható el. Alex Hawkinson, a SmartThings vezérigazgatója blogbejegyzésében megerősítette a hírt és hozzátette, hogy az elmúlt hetekben a kutatókkal együtt a hibák kijavításán dolgoztak.
A Samsung reagálása szerint a jelentésben nyilvánosságra hozott biztonsági rés két esetben fordulhat elő: egy vírusos SmartApp alkalmazás telepítésekor, illetve ha a külső fejlesztők nem követik a SmartThings kódolására vonatkozó biztonsági előírásokat. Leszögezik, hogy a fertőzött SmartApps applikáció soha nem jelentett fenyegetést a felhasználókra nézve és ezután sem fog, ugyanis a SmartThings platformhoz tartozó tanúsítványok és kódok felülvizsgálatának folyamata már a közzététel előtt kiszűri a vírusos SmartApp alkalmazásokat. Az engedélyezési folyamat javítása érdekében a cég további biztonsági felülvizsgálati követelményekkel bővítette a meglévő előírásokat.
A Michigani Egyetem és a Microsoft Research kutatói hívták fel a figyelmet a Samsung SmartThings platformjával kapcsolatos biztonsági problémákra. A kutatók megállapították, hogy a Samsung által 2014 augusztusában felvásárolt SmartThings platformot komoly tervezési hiányosságok jellemzik. Nem tartott sokáig, amíg sikerült olyan támadási eljárásokat kifejleszteni, amelyek kihasználják ezeket a hibákat.
A különböző hiányosságok és rések miatt a támadók képesek lehetnek különböző módokon manipulálni a kapcsolódó dolgok internete (IoT) termékeket. A szakembereknek sikerült többek között a bejárati ajtó PIN-kódját megszerezve azt kinyitniuk, a felhasználók belegyezése nélkül új virtuális kulcsokat létrehozniuk és ellenőrizniük a tűzjelző rendszereket. Emellett képesek voltak az úgynevezett "szabadságra mentem" üzemmódot kikapcsolni, melynek során a betörők megtévesztésére bizonyos időközönként automatikusan meghatározott fény- és biztonsági beállításokat alkalmaznak, amikor a felhasználó nincs otthon.
A Michigani Egyetem és a Microsoft Research munkatársai biztonsági tesztek során demonstrálták, hogy miként lehet manipulálni egy IoT-rendszer által használt alkalmazást. A SmartThings szoftverboltjának kínálatában jelenleg több mint 500 lakásvezérlő program található, ezek közül sok olyan hozzáférési jogokat kér magának, amelyekre a működésükhöz nincs is szükség. Ez az alkalmazások több mint 40 százalékáról mondható el. Alex Hawkinson, a SmartThings vezérigazgatója blogbejegyzésében megerősítette a hírt és hozzátette, hogy az elmúlt hetekben a kutatókkal együtt a hibák kijavításán dolgoztak.
A Samsung reagálása szerint a jelentésben nyilvánosságra hozott biztonsági rés két esetben fordulhat elő: egy vírusos SmartApp alkalmazás telepítésekor, illetve ha a külső fejlesztők nem követik a SmartThings kódolására vonatkozó biztonsági előírásokat. Leszögezik, hogy a fertőzött SmartApps applikáció soha nem jelentett fenyegetést a felhasználókra nézve és ezután sem fog, ugyanis a SmartThings platformhoz tartozó tanúsítványok és kódok felülvizsgálatának folyamata már a közzététel előtt kiszűri a vírusos SmartApp alkalmazásokat. Az engedélyezési folyamat javítása érdekében a cég további biztonsági felülvizsgálati követelményekkel bővítette a meglévő előírásokat.