Samsung SmartThings, gravi vulnerabilità consentono accesso a sconosciuti

Un team di ricercatori di sicurezza della University of Michigan ha svelato alcune vulnerabilità nella piattaforma SmartThings, alcune delle quali sfruttabili per ottenere l'accesso alle reti IoT basate sul sistema. I ricercatori sono stati in grado di sfruttare alcune di queste falle per aprire porte, impostare nuove chiavi di protezione virtuali, gestire allarmi anti-incendio o impostare modalità diverse da quelle scelte dagli utenti, il tutto senza ottenere il permesso da questi ultimi.

Insieme a Jaeyeon Jung di Microsoft Research, i ricercatori pubblicheranno entro la fine del mese l'esito delle ricerche condotte all'interno del documento "Security Analysis of Emerging Smart Home Applications", documentando il tutto a San Jose durante l'IEEE Symposium. Il documento rivela che la piattaforma IoT SmartThings contiene "numerose vulnerabilità di design" e che i vari attacchi proof-of-concept sono stati portati a termine senza troppi sforzi durante l'esperimento.

Nei test infatti il team ha sviluppato un'app SmartThings malevola, cosa che potrebbe fare un team di cyber-criminali e diffonderla all'interno di siti internet di dubbia origine. L'applicazione si maschera da indicatore del livello della batteria ed è in grado di intercettare la rete IoT, impostare un nuovo codice PIN per i lucchetti smart delle porte e inviare il nuovo PIN ad un potenziale aggressore. L'app può anche sfruttare altre vulnerabilità della piattaforma SmartThings.

Può ad esempio spegnere la modalità vacanza, con cui gli utenti possono impostare l'accensione e lo spegnimento automatizzato delle luci o di altri accessori per simulare la presenza in casa di esseri umani. La modalità serve per ingannare potenziali ladri e spingerli a pensare che ci sia qualcuno dentro casa. Se non bastasse il team è stato in grado di creare una chiave digitale di riserva per la serratura della porta programmando un PIN addizionale da usare nella serratura elettronica: "È come dare il pieno controllo ai dispositivi connessi di casa tua a qualcuno di cui non ti fidi", ha dichiarato Earlence Fernandes, uno dei responsabili dello studio.

Stando a quanto scrive il team l'app store SmartThings accoglie oltre 500 applicazioni per controllare la casa, tuttavia molte di queste applicazioni, circa il 40%, chiedono di ottenere privilegi che in realtà non sono necessari per il loro funzionamento. Questo elemento accresce la possibilità di problematiche di sicurezza, una tendenza che deve scomparire se le case IoT vogliono diventare sicure e diffondersi fra le masse di utenti inconsapevoli, secondo i ricercatori.

"L'accesso che SmartThings garantisce in via predefinita alle app è assoluto", ha dichiarato Atul Prakash, professore di informatica e ingegneria alla University of Michigan. "Ad esempio, è come se tu dessi a qualcuno il permesso di cambiare la lampadina del vostro ufficio, ma alla fine questa persona finisce per ottenere l'accesso a tutto l'ufficio, anche agli armadi dei documenti".

Il CEO di Samsung SmartThings, Alex Hawkinson, ha riconosciuto i risultati del team di ricercatori della University of Michigan e ha dichiarato che i tecnici della piattaforma hanno collaborato nelle scorse settimane per eliminare ogni possibilità di exploit delle vulnerabilità. Dalla scoperta dei bug sono stati rilasciati alcuni aggiornamenti che proteggono gli utenti dal loro possibile sfruttamento.