研究人员劫持了三星的SmartThings物联网系统

密歇根大学的研究人员 周一宣布,他们发现了三星SmartThings家庭自动化系统中的一系列漏洞,这些漏洞 基本上可以让黑客控制各种功能并进入用户家中。

研究人员与微软合作开展了可能是家庭物联网应用的第一次综合研究,对该系统进行了安全性分析。

他们能够执行四次概念验证攻击,允许他们进入家庭或接管不同功能的能力:

锁定挑选的恶意软件应用程序伪装成电池级监视器,可以窃听用户为门锁设置新的PIN码,并通过短信将PIN码发送给潜在的黑客。

通过将附加钥匙编程到电子锁中,可以远程利用SmartApp来制作备用门钥匙。

SmartApp可以关闭休假模式 – 让用户可以在另一个应用程序中设置室内灯光,百叶窗和其他功能的时间,以帮助居民离开时保护住宅。

通过SmartApp发送虚假消息,研究人员能够使火灾警报响起。

广泛使用

研究人员测试了SmartThings,因为它的用途广泛。该系统的Android应用程序已下载超过100,000次。SmartThings应用程序商店是第三方开发人员在云中为系统编写应用程序的地方,拥有500多个应用程序。

该研究表明,该平台存在一个名为“overprivilege”的漏洞,这实际上意味着SmartApps允许更多地访问设备而不是最初预期的设备,并且这些设备可以做成他们最初未编程的事情。

研究人员说,开发人员为近500个测试应用程序中的40%提供了额外的功能,并错误地部署了OAuth身份验证方法。当与系统内置的超额权限相结合时,这些缺陷可能允许攻击者将自己的PIN码编程到系统中,从而创建一个备用密钥来攻击系统。

此外,研究人员表示,称为“事件子系统”的东西 – 设备在编程时产生的消息流 – 是不安全的。

他们去年向三星通报了这个问题,并一直在共同修补这些漏洞。

“保护我们客户的隐私和数据是我们在SmartThings所做的一切的基础,”SmartThings首席执行官Alex Hawkinson说。

他说,该公司定期对其系统进行安全检查,并与第三方专家合作,以防范漏洞。

损害控制

Hawkinson说,SmartThings团队在过去几周一直在与研究人员就这些漏洞进行合作,并发布了一系列更新,以防止潜在的漏洞发生。

他补充说,报告中描述的所有漏洞都没有影响到目前为止的客户。

据该公司称,这些漏洞主要依赖于两种情况:恶意SmartApp的安装以及第三方开发人员未遵守SmartThings如何保护其代码安全的指导方针。

该公司表示,作为一个拥有不断发展的活跃开发者社区的开放平台,SmartThings提供了有关如何保护所有代码安全并确定什么是可靠来源的详细指南。从不受信任的来源下载的代码可能存在潜在风险。

该公司已经更新了其记录的最佳实践,以便为开发人员提供更好的安全指导。

发展缺点

趋势科技 全球威胁通信经理Christopher Budd表示,在不了解开发细节的情况下,不可能知道漏洞是如何暴露出来的。

他告诉TechNewsWorld,总的来说,这些漏洞指向了开发过程中的问题,特别是围绕过程中安全性的优先级。

“这是一个广泛而常见的问题,不仅在物联网设备中,还包括桌面应用程序和移动应用程序,”Budd说。

本文计划于本月晚些时候在加利福尼亚州圣何塞举行的IEEE安全与隐私研讨会上发表。

ChinaIT.com 网站文章仅限于提供更多信息,不代表本网站立场观点。如需转载,请注明来源 。转载之文章来源于互联网,如有版权问题,请与我们联系。

下载 ChinaIT.com APP,随时掌握最新IT资讯