Onderzoekers vinden twintig kwetsbaarheden in SmartThings Hub van Samsung

Onderzoekers van Cisco's beveiligingsonderdeel Talos hebben in totaal twintig kwetsbaarheden geïdentificeerd in de SmartThings-controller van Samsung. De Zuid-Koreaanse fabrikant heeft inmiddels patches uitgebracht, die automatisch worden toegepast.

Onderzoekers van Talos beschrijven hun bevindingen in een blogpost. Daarin vermelden ze onder meer dat de lekken inmiddels aan Samsung zijn gemeld en dat de fabrikant deze maand patches heeft uitgebracht. Volgens de onderzoekers gaat het om verschillende soorten kwetsbaarheden, die in combinatie ingezet kunnen worden om toegang te krijgen tot de Hub, die fungeert als domoticacontroller. De ernst van de kwetsbaarheden zou dan ook moeten worden bezien in onderling verband, omdat de lekken via chaining te combineren zijn.

Zo vonden ze bijvoorbeeld lekken die het op afstand uitvoeren van code mogelijk maken, ook zonder dat er authenticatie heeft plaatsgevonden. Dat laatste scenario doet zich alleen voor als de aanvaller een gebruiker van de Hub zover kan krijgen een kwaadaardige app te installeren in de vorm van een zogenaamde SmartApp. Andere mogelijke attack vectors zijn het onderscheppen van een geldig OAuth-token of het zich kunnen voordoen als een SmartThings-server.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 26-07-2018 20:5125

26-07-2018 • 20:51

25 Linkedin

Lees meer

Samsung SmartThings Hub V2

geen prijs bekend

Score: 3

Samsung, Electrolux en Haier willen smarthomeplatforms beter laten samenwerken Nieuws van 5 januari 2022
Broncode Samsung SmartThings en andere gevoelige data was toegankelijk Nieuws van 8 mei 2019
Cisco repareert kritieke kwetsbaarheid in software van Nexus 9000-switch Nieuws van 2 mei 2019
Medewerker vindt lekken in software beveiligingsleverancier van Google-kantoor Nieuws van 4 september 2018
Samsung voegt hub en meshrouter toe aan SmartThings-platform Nieuws van 14 augustus 2018
Lekken in Crestron-domoticacontrollers laten aanvaller apparaat overnemen Nieuws van 11 augustus 2018
Mtp-lek maakte uitlezen bestanden van gelockte Samsung-smartphone mogelijk Nieuws van 4 januari 2018
Bedrijf claimt dat Tizen duizenden programmeerfouten bevat Nieuws van 13 juli 2017
Onderzoeker stelt dat Samsungs besturingssysteem Tizen veertig zero-days bevat Nieuws van 3 april 2017
Gepatchte Samsung-ip-camera bevat nog steeds lek dat overname mogelijk maakt Nieuws van 18 januari 2017
Onderzoekers vinden kwetsbaarheden in Samsungs SmartThings-platform Nieuws van 2 mei 2016
Meer producten en artikelen
Beveiliging en antivirus Basisstations Samsung SmartThings Security

Reacties (25)

-Moderatie-faq
-125020+19+20+30Ongemodereerd1
Wijzig sortering
+1DirtyBird
27 juli 2018 00:26
Wie weet heeft samsung wel een rekensom gemaakt en kwamen ze tot de conclusie dat public sourcing goedkoper is dan een testteam betalen.
Wellicht wat cynisch, maar in de game-industrie zijn zero-day patches ook allang gemeengoed.
+1sygys
@DirtyBird29 juli 2018 15:26
Ik vind zulke dingen altijd zo overtrokken. Er zitten kwetsbaarheden in... je moet alleen wel de gebruiker ervan overtuigen een app te installeren... Ja zo lust ik er nog wel 10. Als ik op mijn Windows pc een kwaadaardige app installeer dan kan iemand ook mijn hele pc overnemen.

Beetje ver gezocht weer dit... zoals tegenwoordig met bijna alle kwetsbaarheden die gevonden worden.

Hoe vaak ik niet heb gelezen dat er een kwetsbaarheid in Android zit waarbij je een kwartier bezig bent met handelingen uitvoeren als gebruiker om überhaupt vatbaar ervoor te worden.
0InjecTioN
@DirtyBird27 juli 2018 10:14
Dat is inderdaad ook helemaal niet stom bekeken zo. Op deze manier is het alleen maar positieve reclame omdat de lekken "zo snel gedicht zijn" door Samsung. Dit ontkracht voor veel mensen wellicht ook direct de voorheen relatief slechte update policy voor hun Android toestellen (ondanks dat dit een andere tak is van het bedrijf).

Tenslotte zijn er voldoende scriptkiddies die voor de hobby graag zoeken naar beveiligingslekken. Die lekken zullen soms niet gevonden kunnen worden door een doorgewinterde security expert. Puur omdat die vaak een alternatieve manier hebben om de lekken te kunnen traceren.

[Reactie gewijzigd door InjecTioN op 27 juli 2018 10:15]

+1rkeet
27 juli 2018 15:10
Grappig dat ze zo'n team hebben dat zich druk bezig houdt met de apparaten van andere fabrikanten.

CVE's voor Cisco apparaten: https://www.cvedetails.co...duct_id-19/Cisco-IOS.html

- https://thehackernews.com...sco-switches-hacking.html
- https://arstechnica.com/i...ty-alert-for-vpn-devices/
- https://www.zdnet.com/art...n-to-attack-so-patch-now/
- https://www.us-cert.gov/n...Releases-Security-Updates
- https://www.csa.gov.sg/si...erabilities-cve-2018-0171

Linkjes allemaal van dit jaar. Veelvoudig, zo niet allemaal, inmiddels gepatched. Maar dan nog komen ze erg vaak in het nieuws, of in tests, naar voren met "critical flaws".
+10xygen500
26 juli 2018 21:10
Hoe moet ik dit zien? Is 20 relatief veel of weinig?
+1Keypunchie
@0xygen50026 juli 2018 21:36
Als ik de exploits lees, zit er niks super-voorspelbaars tussen. Implementatie-foutjes en witte vlekjes, maar geen fundamentele dommigheden of superslordige zaken als geen encryptie zoals je bij veel goedkope IoT ziet.

Aan de andere kant, denk dat het mij toch een beetje tegenvalt. Samsung is een te grote speler om security niet serieus te kunnen nemen. Ze hebben er duidelijk wel aandacht voor, maar...

...die zouden zelf zo’n team moeten hebben, die dit soort dingen uitvogelt.

[Reactie gewijzigd door Keypunchie op 26 juli 2018 21:37]

+1CopyCatz
@Keypunchie26 juli 2018 21:39
Samsung heeft de zaak alleen opgekocht en doet er verder vrij weinig aan. De CEO is een aantal maanden geleden opgestapt en als gebruiker zie ik wat donkere wolken aan de horizon. Met dit soort domotica software trek je geen enorme klantenkring waar snel geld te halen valt, wat Samsung kennelijk wel wil door het in een eigen nieuwe app te integreren (zonder daar alle gebruiker-devs bij te betrekken). Het is een branche met hobbyisten waar veel informatieuitwisseling en support key is voor het slagen voor een product, en zo werkt Samsung niet. In dit geval is het patchen van de lekken een wapenfeit voor het Smartthings team en heeft weinig met Samsung te maken.

[Reactie gewijzigd door CopyCatz op 26 juli 2018 21:40]

+1kodak

@Keypunchie26 juli 2018 22:09
Lees de blogpost nog maar een keer. Er is een sql-injection vulnerability gevonden. Die kan gebruikt worden om foute commando's uit te voeren op de hub. Een deel van de gevonden security bugs kan dan ook worden uitgevoerd. Als je eenmaal code kan uitvoeren is het bijvoorbeeld mogelijk om het apparaat te gebruiken als een bot. Dat gebeurt bijvoorbeeld om denial of service aanvallen te doen op anderen, om te minen of er een proxy van te maken.

De HTTP service is actief op het interne netwerk, maar kan waarschijnlijk makkelijk via CSRF uitgevoerd worden vanaf het internet. Moet iemand op dat lan waar die SmartThings hub op staat wel even een pagina bezoeken met code die het apparaat aanvalt.

Het zijn geen fouten die van het internet meteen zijn te gebruiken, maar het is ook niet al te moeilijk via de mogelijkheid die wel kan.

[Reactie gewijzigd door kodak op 26 juli 2018 22:12]

0totaalgeenhard
@0xygen50026 juli 2018 22:14
Waarom kijken ze niet naar Cisco spul.
0Geim
26 juli 2018 20:57
Op zich een interessante hub voor domotica. Jammer dat hij nergens te koop is.
0Carda
@Geim26 juli 2018 21:33
Jawel hoor, heb er eentje thuis. Bestellen via de UK.
0CopyCatz
@Carda26 juli 2018 21:41
Idd af en toe in de UK te halen voor rond de 75 euro wat ideaal is. Het meest stabiele domotica product wat ik ooit heb gebruikt, en ik heb ze zowat allemaal gehad.
0FalconerHG
27 juli 2018 09:38
De grootste kwetsbaarheid is dat SmartThings "out of the box" niet bepaald smart is. Het is meer een app met een stuk hardware die (veel van) je IoT aan op 1 plek laat beheren, dan iets waarmee je je huis slim kan automatiseren.

Er zijn wat community made addons waar je wel wat mee kan, maar die hebben ook zo hun beperkingen en zijn voor niet-Tweakers veel te ingewikkeld.

Samsung heeft nog een hoop werk te doen.
0ArtGod
26 juli 2018 22:06
Diep teleurstellend dat een grote, gerenommeerde fabrikant als Samsung dit soort dingen niet veilig krijgt.

Daarnaast is Flash geheugen ook een probleem. Veel fabrikanten denken toch: "Gooi maar op de markt, als het niet goed is patchen we het wel." De insteek moet zijn dat een product goed moet zijn als het op de markt komt en zeker geen tientallen kwetsbaarheden mag bevatten.

Gelukkig heeft Samsung alle lekken gepatched, maar het had eigenlijk niet mogen voorkomen. Ze moeten een security review doen voordat het op de markt komt.

[Reactie gewijzigd door ArtGod op 27 juli 2018 15:22]

+1Zer0
@ArtGod27 juli 2018 00:40
Dus jij hebt liever niet de mogelijkheid achteraf patches uit te voeren? Dat betekent wel dat er geen enkel veilig product meer op de markt komt, aangezien niemand software met enige functionaliteit 100% foutloos kan programmeren.
0ArtGod
@Zer027 juli 2018 15:49
Ik zeg dat fabrikanten ervoor moeten zorgen dat hun producten veilig zijn en goed werken voordat deze op de markt gezet worden. Nu is het een 'afterthought.'
+1totaalgeenhard
@DigitalExorcist27 juli 2018 00:58
Als je toestel van rond 700 euro koopt wil je hem niet na 2 jaar weggooien.
0DigitalExorcist
@totaalgeenhard27 juli 2018 07:37
Nee allicht niet. Dat is het nou juist. Het updatebeleid van 'de grote telefoonfabrikanten die Android gebruiken' begint nu pas een beetje aan te passen daaraan. Samsung was altijd dramátisch (naast Sony) met z'n supportbeleid; een maand of 6 updates en dan was het einde oefening. Sony die bij de introductie al Android versies beloofde uit te brengen die vervolgens nooit kwamen, ook zoiets.

OK nou heb ik het over de tijd van de Galaxy Note 3 en eerder; sindsdien zal het waarschijnlijk wel wat beter geworden zijn, maar nú pas begint Android ook in te zien dat dit niet de bedoeling kan zijn.
0DigitalExorcist
@totaalgeenhard27 juli 2018 08:17
Ik was ook altijd wel gecharmeerd van Android. Diverse toestellen gehad, van budget (Y300 uit m'n hoofd van Huawei, HTC Wildfire was m'n eerste) naar high-end (Galaxy Note 3), Xperia P heb ik daar tussenin nog gehad, maar ben toch vrij radicaal geswitched naar een iPhone en daar nóóit spijt van gehad. Al is het alleen maar vanwege de 5 jaar aan updates en geen gedoe en geneuzel er omheen.

[Reactie gewijzigd door DigitalExorcist op 27 juli 2018 08:17]

Op dit item kan niet meer gereageerd worden.

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee