Onderzoekers van Microsoft en de Amerikaanse universiteit van Michigan hebben meerdere kwetsbaarheden gevonden in het SmartThings-platform van Samsung. Daarmee was het bijvoorbeeld mogelijk om de pincode van een deur in te stellen en het brandalarm te laten afgaan.
Het onderzoek vond plaats aan de hand van 499 SmartThings-apps, die door derden zijn ontwikkeld en die gebruikmaken van het platform van Samsung, een backend met een gesloten broncode. Daarom hebben de onderzoekers hun analyse van de apps uitgevoerd door middel van static source code analysis. Het onderzoek concludeert dat er bij 55 procent van de apps te veel permissies worden gevraagd, waardoor verschillende beveiligingsrisico's ontstaan. Een tweede bevinding is dat het event-systeem van SmartThings gevoelige gegevens onvoldoende beschermt, zoals de toegangscode voor een huisdeur.
Met betrekking tot de permissies kwamen de onderzoekers ook tot de ontdekking dat 42 procent van de apps geen toestemming vroeg om bepaalde toegangsrechten, maar deze toch kregen. De oorzaak daarvan was vaak de manier waarop rechten door de verschillende apparaten worden toegekend en lag niet in de fout van een ontwikkelaar. Bovendien krijgen apps vaak volledige toegang tot een apparaat, hoewel gelimiteerde toegang eigenlijk voldoende is.
Vaak hebben de apps de gevraagde toegangsrechten ook helemaal niet nodig. Zo zou een slim slot alleen de mogelijkheid kunnen hebben om op afstand gesloten te worden, alleen bundelt de SmartThings-api deze functionaliteit ook met het openen van een slot, zo illustreert The Verge. Het probleem ligt volgens de onderzoekers vooral in het feit dat de permissies te breed zijn gedefinieerd.
De onderzoekers ontwikkelden enkele proofs of concept voor de gevonden kwetsbaarheden. Een daarvan hield in dat zij een app ontwikkelden die als doel had om stroomverbruik te meten. Bij installatie vroeg deze app om toegang tot een slim slot, waardoor het mogelijk was om de deur te openen. Het bleek dat meer dan 90 procent van de 22 testpersonen de gevraagde toegangsrechten goedkeurden. Via andere voorbeeldscenario's was het voor de onderzoekers mogelijk om de vakantie-modus van slimme apparaten uit te schakelen, een eigen pincode voor een deur in te stellen en een brandalarm te laten afgaan. Het instellen van de pincode verliep via het versturen van een phishing-e-mail, waarin via een url het OAuth-token onderschept kon worden.
De onderzoekers hebben hun bevindingen met SmartThings gedeeld. Zij stellen tegenover Wired dat de beschreven aanvallen nog steeds mogelijk zijn. Een woordvoerder van SmartThings liet aan Wired weten dat de beschreven scenario's vooral afhankelijk zijn van het feit dat er kwaadaardige apps geïnstalleerd worden en dat ontwikkelaars hun broncode niet voldoende beschermen. Het bedrijf heeft dan ook aanvullende informatie hierover opgesteld.
De aanval die het instellen van een eigen pincode illustreert
/i/1268985871.png?f=fpa)
:strip_exif()/i/2002128881.jpeg?f=fpa)
/i/2001454447.png?f=fpa)
:strip_exif()/i/1086527887.jpg?f=fpa)
/i/1317116716.png?f=fpa)
:strip_exif()/i/1297349685.gif?f=fpa)
/i/1057741947.png?f=fpa)
/i/1159175255.png?f=fpa)
:strip_exif()/i/1159803170.gif?f=fpa)
/i/1323180274.png?f=fpa)
/i/1349425400.png?f=fpa)
:strip_exif()/i/1172139864.jpg?f=fpa)
:strip_exif()/u/638544/crop56cf2cd0217a2_cropped.gif?f=community){kind=small}
/u/57387/claimedavatar-70.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/336043/crop5e96fc1c0ffd6_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/418610/crop57bbf79ba626a.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/249917/jaapschaap.jpg?f=community){kind=small}
Dacht je dat het zijn eigen keuze was?
:strip_icc():strip_exif()/u/302313/crop58766c1b38923_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/71414/images.jpg?f=community){kind=small}
