Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

Onderzoekers vinden twintig kwetsbaarheden in SmartThings Hub van Samsung

Onderzoekers van Cisco's beveiligingsonderdeel Talos hebben in totaal twintig kwetsbaarheden ge´dentificeerd in de SmartThings-controller van Samsung. De Zuid-Koreaanse fabrikant heeft inmiddels patches uitgebracht, die automatisch worden toegepast.

Onderzoekers van Talos beschrijven hun bevindingen in een blogpost. Daarin vermelden ze onder meer dat de lekken inmiddels aan Samsung zijn gemeld en dat de fabrikant deze maand patches heeft uitgebracht. Volgens de onderzoekers gaat het om verschillende soorten kwetsbaarheden, die in combinatie ingezet kunnen worden om toegang te krijgen tot de Hub, die fungeert als domoticacontroller. De ernst van de kwetsbaarheden zou dan ook moeten worden bezien in onderling verband, omdat de lekken via chaining te combineren zijn.

Zo vonden ze bijvoorbeeld lekken die het op afstand uitvoeren van code mogelijk maken, ook zonder dat er authenticatie heeft plaatsgevonden. Dat laatste scenario doet zich alleen voor als de aanvaller een gebruiker van de Hub zover kan krijgen een kwaadaardige app te installeren in de vorm van een zogenaamde SmartApp. Andere mogelijke attack vectors zijn het onderscheppen van een geldig OAuth-token of het zich kunnen voordoen als een SmartThings-server.

Door Sander van Voorst

Nieuwsredacteur

26-07-2018 • 20:51

25 Linkedin Google+

Reacties (25)

Wijzig sortering
Wie weet heeft samsung wel een rekensom gemaakt en kwamen ze tot de conclusie dat public sourcing goedkoper is dan een testteam betalen.
Wellicht wat cynisch, maar in de game-industrie zijn zero-day patches ook allang gemeengoed.
Ik vind zulke dingen altijd zo overtrokken. Er zitten kwetsbaarheden in... je moet alleen wel de gebruiker ervan overtuigen een app te installeren... Ja zo lust ik er nog wel 10. Als ik op mijn Windows pc een kwaadaardige app installeer dan kan iemand ook mijn hele pc overnemen.

Beetje ver gezocht weer dit... zoals tegenwoordig met bijna alle kwetsbaarheden die gevonden worden.

Hoe vaak ik niet heb gelezen dat er een kwetsbaarheid in Android zit waarbij je een kwartier bezig bent met handelingen uitvoeren als gebruiker om Řberhaupt vatbaar ervoor te worden.
Dat is inderdaad ook helemaal niet stom bekeken zo. Op deze manier is het alleen maar positieve reclame omdat de lekken "zo snel gedicht zijn" door Samsung. Dit ontkracht voor veel mensen wellicht ook direct de voorheen relatief slechte update policy voor hun Android toestellen (ondanks dat dit een andere tak is van het bedrijf).

Tenslotte zijn er voldoende scriptkiddies die voor de hobby graag zoeken naar beveiligingslekken. Die lekken zullen soms niet gevonden kunnen worden door een doorgewinterde security expert. Puur omdat die vaak een alternatieve manier hebben om de lekken te kunnen traceren.

[Reactie gewijzigd door InjecTioN op 27 juli 2018 10:15]

Grappig dat ze zo'n team hebben dat zich druk bezig houdt met de apparaten van andere fabrikanten.

CVE's voor Cisco apparaten: https://www.cvedetails.co...duct_id-19/Cisco-IOS.html

- https://thehackernews.com...sco-switches-hacking.html
- https://arstechnica.com/i...ty-alert-for-vpn-devices/
- https://www.zdnet.com/art...n-to-attack-so-patch-now/
- https://www.us-cert.gov/n...Releases-Security-Updates
- https://www.csa.gov.sg/si...erabilities-cve-2018-0171

Linkjes allemaal van dit jaar. Veelvoudig, zo niet allemaal, inmiddels gepatched. Maar dan nog komen ze erg vaak in het nieuws, of in tests, naar voren met "critical flaws".
Hoe moet ik dit zien? Is 20 relatief veel of weinig?
Als ik de exploits lees, zit er niks super-voorspelbaars tussen. Implementatie-foutjes en witte vlekjes, maar geen fundamentele dommigheden of superslordige zaken als geen encryptie zoals je bij veel goedkope IoT ziet.

Aan de andere kant, denk dat het mij toch een beetje tegenvalt. Samsung is een te grote speler om security niet serieus te kunnen nemen. Ze hebben er duidelijk wel aandacht voor, maar...

...die zouden zelf zo’n team moeten hebben, die dit soort dingen uitvogelt.

[Reactie gewijzigd door Keypunchie op 26 juli 2018 21:37]

Samsung heeft de zaak alleen opgekocht en doet er verder vrij weinig aan. De CEO is een aantal maanden geleden opgestapt en als gebruiker zie ik wat donkere wolken aan de horizon. Met dit soort domotica software trek je geen enorme klantenkring waar snel geld te halen valt, wat Samsung kennelijk wel wil door het in een eigen nieuwe app te integreren (zonder daar alle gebruiker-devs bij te betrekken). Het is een branche met hobbyisten waar veel informatieuitwisseling en support key is voor het slagen voor een product, en zo werkt Samsung niet. In dit geval is het patchen van de lekken een wapenfeit voor het Smartthings team en heeft weinig met Samsung te maken.

[Reactie gewijzigd door CopyCatz op 26 juli 2018 21:40]

Lees de blogpost nog maar een keer. Er is een sql-injection vulnerability gevonden. Die kan gebruikt worden om foute commando's uit te voeren op de hub. Een deel van de gevonden security bugs kan dan ook worden uitgevoerd. Als je eenmaal code kan uitvoeren is het bijvoorbeeld mogelijk om het apparaat te gebruiken als een bot. Dat gebeurt bijvoorbeeld om denial of service aanvallen te doen op anderen, om te minen of er een proxy van te maken.

De HTTP service is actief op het interne netwerk, maar kan waarschijnlijk makkelijk via CSRF uitgevoerd worden vanaf het internet. Moet iemand op dat lan waar die SmartThings hub op staat wel even een pagina bezoeken met code die het apparaat aanvalt.

Het zijn geen fouten die van het internet meteen zijn te gebruiken, maar het is ook niet al te moeilijk via de mogelijkheid die wel kan.

[Reactie gewijzigd door kodak op 26 juli 2018 22:12]

Waarom kijken ze niet naar Cisco spul.
Op zich een interessante hub voor domotica. Jammer dat hij nergens te koop is.
Jawel hoor, heb er eentje thuis. Bestellen via de UK.
Idd af en toe in de UK te halen voor rond de 75 euro wat ideaal is. Het meest stabiele domotica product wat ik ooit heb gebruikt, en ik heb ze zowat allemaal gehad.
De grootste kwetsbaarheid is dat SmartThings "out of the box" niet bepaald smart is. Het is meer een app met een stuk hardware die (veel van) je IoT aan op 1 plek laat beheren, dan iets waarmee je je huis slim kan automatiseren.

Er zijn wat community made addons waar je wel wat mee kan, maar die hebben ook zo hun beperkingen en zijn voor niet-Tweakers veel te ingewikkeld.

Samsung heeft nog een hoop werk te doen.
Diep teleurstellend dat een grote, gerenommeerde fabrikant als Samsung dit soort dingen niet veilig krijgt.

Daarnaast is Flash geheugen ook een probleem. Veel fabrikanten denken toch: "Gooi maar op de markt, als het niet goed is patchen we het wel." De insteek moet zijn dat een product goed moet zijn als het op de markt komt en zeker geen tientallen kwetsbaarheden mag bevatten.

Gelukkig heeft Samsung alle lekken gepatched, maar het had eigenlijk niet mogen voorkomen. Ze moeten een security review doen voordat het op de markt komt.

[Reactie gewijzigd door ArtGod op 27 juli 2018 15:22]

Dus jij hebt liever niet de mogelijkheid achteraf patches uit te voeren? Dat betekent wel dat er geen enkel veilig product meer op de markt komt, aangezien niemand software met enige functionaliteit 100% foutloos kan programmeren.
Ik zeg dat fabrikanten ervoor moeten zorgen dat hun producten veilig zijn en goed werken voordat deze op de markt gezet worden. Nu is het een 'afterthought.'
Als je toestel van rond 700 euro koopt wil je hem niet na 2 jaar weggooien.
Nee allicht niet. Dat is het nou juist. Het updatebeleid van 'de grote telefoonfabrikanten die Android gebruiken' begint nu pas een beetje aan te passen daaraan. Samsung was altijd dramßtisch (naast Sony) met z'n supportbeleid; een maand of 6 updates en dan was het einde oefening. Sony die bij de introductie al Android versies beloofde uit te brengen die vervolgens nooit kwamen, ook zoiets.

OK nou heb ik het over de tijd van de Galaxy Note 3 en eerder; sindsdien zal het waarschijnlijk wel wat beter geworden zijn, maar n˙ pas begint Android ook in te zien dat dit niet de bedoeling kan zijn.
Ik was ook altijd wel gecharmeerd van Android. Diverse toestellen gehad, van budget (Y300 uit m'n hoofd van Huawei, HTC Wildfire was m'n eerste) naar high-end (Galaxy Note 3), Xperia P heb ik daar tussenin nog gehad, maar ben toch vrij radicaal geswitched naar een iPhone en daar nˇˇit spijt van gehad. Al is het alleen maar vanwege de 5 jaar aan updates en geen gedoe en geneuzel er omheen.

[Reactie gewijzigd door DigitalExcorcist op 27 juli 2018 08:17]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True