Samsung SmartThings, gravi vulnerabilità consentono accesso a sconosciuti
Un gruppo di ricercatori di sicurezza della University of Michigan ha scoperto alcune vulnerabilità, poi corrette, nel sistema di Start Home di Samsung
di Nino Grasso pubblicata il 03 Maggio 2016, alle 16:31 nel canale CasaSamsung
Un team di ricercatori di sicurezza della University of Michigan ha svelato alcune vulnerabilità nella piattaforma SmartThings, alcune delle quali sfruttabili per ottenere l'accesso alle reti IoT basate sul sistema. I ricercatori sono stati in grado di sfruttare alcune di queste falle per aprire porte, impostare nuove chiavi di protezione virtuali, gestire allarmi anti-incendio o impostare modalità diverse da quelle scelte dagli utenti, il tutto senza ottenere il permesso da questi ultimi.
Insieme a Jaeyeon Jung di Microsoft Research, i ricercatori pubblicheranno entro la fine del mese l'esito delle ricerche condotte all'interno del documento "Security Analysis of Emerging Smart Home Applications", documentando il tutto a San Jose durante l'IEEE Symposium. Il documento rivela che la piattaforma IoT SmartThings contiene "numerose vulnerabilità di design" e che i vari attacchi proof-of-concept sono stati portati a termine senza troppi sforzi durante l'esperimento.
Nei test infatti il team ha sviluppato un'app SmartThings malevola, cosa che potrebbe fare un team di cyber-criminali e diffonderla all'interno di siti internet di dubbia origine. L'applicazione si maschera da indicatore del livello della batteria ed è in grado di intercettare la rete IoT, impostare un nuovo codice PIN per i lucchetti smart delle porte e inviare il nuovo PIN ad un potenziale aggressore. L'app può anche sfruttare altre vulnerabilità della piattaforma SmartThings.
Può ad esempio spegnere la modalità vacanza, con cui gli utenti possono impostare l'accensione e lo spegnimento automatizzato delle luci o di altri accessori per simulare la presenza in casa di esseri umani. La modalità serve per ingannare potenziali ladri e spingerli a pensare che ci sia qualcuno dentro casa. Se non bastasse il team è stato in grado di creare una chiave digitale di riserva per la serratura della porta programmando un PIN addizionale da usare nella serratura elettronica: "È come dare il pieno controllo ai dispositivi connessi di casa tua a qualcuno di cui non ti fidi", ha dichiarato Earlence Fernandes, uno dei responsabili dello studio.
Stando a quanto scrive il team l'app store SmartThings accoglie oltre 500 applicazioni per controllare la casa, tuttavia molte di queste applicazioni, circa il 40%, chiedono di ottenere privilegi che in realtà non sono necessari per il loro funzionamento. Questo elemento accresce la possibilità di problematiche di sicurezza, una tendenza che deve scomparire se le case IoT vogliono diventare sicure e diffondersi fra le masse di utenti inconsapevoli, secondo i ricercatori.
"L'accesso che SmartThings garantisce in via predefinita alle app è assoluto", ha dichiarato Atul Prakash, professore di informatica e ingegneria alla University of Michigan. "Ad esempio, è come se tu dessi a qualcuno il permesso di cambiare la lampadina del vostro ufficio, ma alla fine questa persona finisce per ottenere l'accesso a tutto l'ufficio, anche agli armadi dei documenti".
Il CEO di Samsung SmartThings, Alex Hawkinson, ha riconosciuto i risultati del team di ricercatori della University of Michigan e ha dichiarato che i tecnici della piattaforma hanno collaborato nelle scorse settimane per eliminare ogni possibilità di exploit delle vulnerabilità. Dalla scoperta dei bug sono stati rilasciati alcuni aggiornamenti che proteggono gli utenti dal loro possibile sfruttamento.
10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoInoltre non vorrei mai che l'intera casa e suppellettilli varie siano connesse ad internet.
Abbiamo assistito invece a produttori che invece, quelle segnalazioni, le hanno spesso ignorate.
Hmm.. e cosa dovrebbero dire questi "standard"?
In contrapposizione agli alieni?
Ad esempio che le comunicazioni da e verso il dispositivo debbano essere crittografate end to end. Se la commissione europea dice che non ci devono essere aspirapolveri con potenza superiore ai 1600 watt, http://www.theguardian.com/world/20...vacuum-cleaners
non vedo perché non possa regolamentare anche la sicurezza diei dispositivi casalinghi. Potrebbe anche creare (pagare qualcuno, vedasi ieee) per creare uno standard ad hoc, potrebbe rilasciare licenze (e guadagnare), potrebbe imporre uno standard (vedasi l'802.15.4) e crearci una infrastruttura di normative al di sopra. Se prima non occorreva regolamentare la sicurezza delle serrature ora che sono diventate raggiungibili e operabili da remoto, imho serve una normativa che tuteli il consumatore, quando il consumatore stesso non è in grado di prendere le decisioni per proteggersi.
non vedo perché non possa regolamentare anche la sicurezza diei dispositivi casalinghi. Potrebbe anche creare (pagare qualcuno, vedasi ieee) per creare uno standard ad hoc, potrebbe rilasciare licenze (e guadagnare), potrebbe imporre uno standard (vedasi l'802.15.4) e crearci una infrastruttura di normative al di sopra. Se prima non occorreva regolamentare la sicurezza delle serrature ora che sono diventate raggiungibili e operabili da remoto, imho serve una normativa che tuteli il consumatore, quando il consumatore stesso non è in grado di prendere le decisioni per proteggersi.
Sono tutti al massimo palliativi, perché i problemi maggiori sono quelli di progettazione e/o i bug, esattamente come in questo caso, in cui crittografia e standard vari non sarebbero serviti.
Senza considerare che se hai seguito proprio la questione degli aspirapolvere che citi, saprai che la regolamentazione c'è ma è come minimo controversa (Dyson aveva fatto causa a Bosch/Siemens). Alla fine magari qualcuno prende una multa ma per te consumatore non cambia niente: i soldi non li prendi tu e se il tuo prodotto ha delle falle queste rimangono, a meno che non vengano corrette - come del resto è stato fatto anche in questo caso, senza ricorrere a regolamentazioni di sorta.
Prima dovresti definire il concetto di sicurezza, e una metrica per misurarla. Cosa alquanto difficile.
Sarebbe un po' come chiedere che il software rilasciato sia senza bug, pena l'impossibilità di essere immesso in commercio: saremmo senza software...
Abbiamo assistito invece a produttori che invece, quelle segnalazioni, le hanno spesso ignorate.
Non poteva evitare di farlo, altrimenti sarebbe stata massacrata a colpi di cause legali dai clienti "trapanati" grazie a quei bug.
Ma a parte questo, Samsung in generale ha problemi non da poco riguardo come gestisce sviluppo e manutenzione del software, basta pensare alle storie allucinanti sullo sviluppo dell'UI di Tizen.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".