Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties

Onderzoekers van Microsoft en de Amerikaanse universiteit van Michigan hebben meerdere kwetsbaarheden gevonden in het SmartThings-platform van Samsung. Daarmee was het bijvoorbeeld mogelijk om de pincode van een deur in te stellen en het brandalarm te laten afgaan.

Het onderzoek vond plaats aan de hand van 499 SmartThings-apps, die door derden zijn ontwikkeld en die gebruikmaken van het platform van Samsung, een backend met een gesloten broncode. Daarom hebben de onderzoekers hun analyse van de apps uitgevoerd door middel van static source code analysis. Het onderzoek concludeert dat er bij 55 procent van de apps te veel permissies worden gevraagd, waardoor verschillende beveiligingsrisico's ontstaan. Een tweede bevinding is dat het event-systeem van SmartThings gevoelige gegevens onvoldoende beschermt, zoals de toegangscode voor een huisdeur.

Met betrekking tot de permissies kwamen de onderzoekers ook tot de ontdekking dat 42 procent van de apps geen toestemming vroeg om bepaalde toegangsrechten, maar deze toch kregen. De oorzaak daarvan was vaak de manier waarop rechten door de verschillende apparaten worden toegekend en lag niet in de fout van een ontwikkelaar. Bovendien krijgen apps vaak volledige toegang tot een apparaat, hoewel gelimiteerde toegang eigenlijk voldoende is.

Vaak hebben de apps de gevraagde toegangsrechten ook helemaal niet nodig. Zo zou een slim slot alleen de mogelijkheid kunnen hebben om op afstand gesloten te worden, alleen bundelt de SmartThings-api deze functionaliteit ook met het openen van een slot, zo illustreert The Verge. Het probleem ligt volgens de onderzoekers vooral in het feit dat de permissies te breed zijn gedefinieerd.

De onderzoekers ontwikkelden enkele proofs of concept voor de gevonden kwetsbaarheden. Een daarvan hield in dat zij een app ontwikkelden die als doel had om stroomverbruik te meten. Bij installatie vroeg deze app om toegang tot een slim slot, waardoor het mogelijk was om de deur te openen. Het bleek dat meer dan 90 procent van de 22 testpersonen de gevraagde toegangsrechten goedkeurden. Via andere voorbeeldscenario's was het voor de onderzoekers mogelijk om de vakantie-modus van slimme apparaten uit te schakelen, een eigen pincode voor een deur in te stellen en een brandalarm te laten afgaan. Het instellen van de pincode verliep via het versturen van een phishing-e-mail, waarin via een url het OAuth-token onderschept kon worden.

De onderzoekers hebben hun bevindingen met SmartThings gedeeld. Zij stellen tegenover Wired dat de beschreven aanvallen nog steeds mogelijk zijn. Een woordvoerder van SmartThings liet aan Wired weten dat de beschreven scenario's vooral afhankelijk zijn van het feit dat er kwaadaardige apps geïnstalleerd worden en dat ontwikkelaars hun broncode niet voldoende beschermen. Het bedrijf heeft dan ook aanvullende informatie hierover opgesteld.

De aanval die het instellen van een eigen pincode illustreert

Moderatie-faq Wijzig weergave

Reacties (20)

Hoe meer "smart" spul erop de markt komt en hoe meer er met internet verbonden word, hoe groter de risico's dat de boel gehackt word of iets dergelijks. Moet er niet aan denken om mijn deur aan het internet te hangen..
Zekers, de tegenlicht aflevering van afgelopen zondag geeft nog wat meer inzichten. Erg interessante materie.
Dan bel je toch gewoon die ene verzekeringsmaatschappij. Je weet wel van die ene reclame van vorig jaar die haarfijn het probleem weergeeft.
https://www.youtube.com/watch?v=_CQA3X-qNgA
Het is heel dubbel. Langs de ene kant is het heel moeilijk (en dus een stuk duurder) om veilige software te ontwikkelen, langs de andere kant zou je (als consument) toch mogen verwachten dat een deurslot je huis ook beveiligt.
Bij 'gewone' sloten kan je dat op zijn minst gedeeltelijk vaststellen adhv merk, certifiŽring en vooral gebruikte technologie (met het nodige opzoekwerk of advies v/e specialist). Een paar specifieke kwetsbaarheden daargelaten is een kwaliteitsslot dat voor zijn hele levensduur, dat lijkt (nog) niet het geval voor deze 'slimme' varianten.

[Reactie gewijzigd door the_stickie op 3 mei 2016 00:17]

En daar zul je je uiteindelijk op dezelfde manier als dat je nu tegen inbraak doet tegen verzekeren. Het is nooit 100% veilig
Ik ben benieuwd of Alarm.com en icontrol.com ook deze gebreken hebben met hun miljoenen klanten. Samsung heeft duidelijk minder ervaring met dit soort (security) diensten voor consumenten en klein zakelijk en tot op heden minder klanten.
dat ontwikkelaars hun broncode niet voldoende beschermen
Dat riekt naar security through obscurity, een doodzonde als je met beveiliging bezig bent. :X
Schokkend. Dit had ik echt niet verwacht van een software powerhouse als Samsung... Ze hebben immers een erg goede track-record qua software.
Schokkend. Dit had ik echt niet verwacht van een software powerhouse als Samsung... Ze hebben immers een erg goede track-record qua software.
Ik neem aan dat dit sarcasme is?

Gaat nog leuk worden, al die smart brol. Ik kan niet wachten tot er een slimmerik een virus schrijft dat al die smart sloten blokkeert. Kan je bitcoins gaan betalen omdat je anders je eigen huis niet meer binnen kan 8)7
Voor mij echt de reden om ver weg te blijven bij dat soort 'smart' spul. Dan zie ik gisteren bij een woonprogramma zo'n gast moeilijk doen met zijn tablet om een lamp te dimmen, loop gewoon naar de dimmer. Die tablet heb je niet altijd bij de hand en staat niet altijd aan, is dat dan vooruitgang?
Dan is je huis warm als je thuiskomt, nou dan is het een paar minuten later 20 graden ipv 17.

[Reactie gewijzigd door Vexxon op 2 mei 2016 17:14]

Inderdaad. Smart is leuk, maar dan moet er ook een slimmere interactie ontwikkeld worden dan de knop/dimmer anders gaat het aan het primaire doel voorbij; gemakkelijk je lampen of wat dan ook bedienen.
Voor mij echt de reden om ver weg te blijven bij dat soort 'smart' spul. Dan zie ik gisteren bij een woonprogramma zo'n gast moeilijk doen met zijn tablet om een lamp te dimmen, loop gewoon naar de dimmer.
Ja maar daar krijgt ie niet voor betaald ;) Dacht je dat het zijn eigen keuze was?
Ben jij nou een Tweaker of wat? Je bent toch juist geinteresseerd in alles wat tech is, dus ook smart home meuk. Ik ben zelf overigens hartstikke tevreden over mijn Philips Hue systeem, werkt top.
Ja heel erg maar dat betekend niet direct dat ik alles aan het internet wil hangen :+

Ik vind Nefit reclame ook zo mooi "ik kom straks thuis in een warm huis" en drukt dan op z'n appje. Ik kom al jaren thuis in een warm huis, zonder app of domotica....simpelweg een programma ingesteld die aanslaat vlak voor ik naar huis ga....soms moet je dingen niet moeilijker willen maken.

Overigens ben ik wel gewoon geÔnteresseerd in domotica en redelijk op de hoogte ervan hoor voor ik vanalles naar m'n hoofd krijg. Zie alleen niet over het directe nut (nog) van in :+
Wat een onzin. Dus omdat ik geÔnteresseerd ben in technologie moet ik met een tablet mijn lamp dimmen? Ik ben geÔnteresseerd in technologie die daadwerkelijk iets toevoegt. Sommige dingen zijn uit spielerij leuk maar niet functioneel, mijn tablet zoeken, opstarten, app openen en de lamp dimmen is niet functioneel.
Of heb jij ook een Tesla, smartwatch, smart tv, zonnepanelen, Nest-thermostaat, zelfdenkend koffiezetapparaat, electronische schoonmoeder? Niet? Wat ben jij voor tweaker?
Of je zegt het gewoon tegen siri en het gaat automatisch.

Verder vind ik de risico's niet de moeite waard om een dergelijk systeem niet te kopen. Of het nou een hacker, slotenmaker of inbreker is, de risico's hou je toch.
Gaat nog leuk worden, al die smart brol. Ik kan niet wachten tot er een slimmerik een virus schrijft dat al die smart sloten blokkeert. Kan je bitcoins gaan betalen omdat je anders je eigen huis niet meer binnen kan 8)7
Op die dag kan je me begraven. Ben ik dood gegaan van het lachen.
Komt goed uit want ik kon m'n huis niet meer in...
Samsung is een hardware fabrikant, software is een bijzaak. Daarvoor heb je je kleineren bedrijven die zich in de markt moeten bewijzen en dat alleen maar kunnen doen door risico's te nemen. Samsung heeft zo te zien te veel risico genomen en de Requirements to ruim genomen bij het ontwikkelen van dit platform.

Duidelijk is er te zien dat er te weinig gelet is op de cases in de praktijk daarintegen hebben ze waarschijnlijk op basis van theorieŽn snel het platform op de markt gebracht.

Ik kan het natuurlijk ook helemaal fout hebben, als dat zo is dan verbeter me waar nodig.
Samsung is zeker zo groot op software als hardware. Smartthings is hoofdzakelijk een softwareproduct. Het gaat om ervaren gebruiksgemak. Goed dat dit nu bij een groeiend platform naar voren komt.

Ik gebruik zelf domoticz maar dat zal bij de meesten nog slechter beveiligd zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True