Gaten in slimme SmartThings-apparaten roept discussie over IoT-veiligheid op

Er zitten een aantal kritieke gaten in het SmartThings-platform van Samsung. Dat stellen beveiligingsonderzoekers die keken naar het platform voor IoT-apparaten. De onderzoekers bekeken zo'n 500 verschillende apparaten en vonden een paar grote lekken, al is daarvoor wel een phishing-aanval nodig.

De onderzoekers van de University of Michigan en MIT schrijven dat in een whitepaper.
 

SmartThings

In het onderzoeken kijken de wetenschappers naar onder andere een slim slot en een slimme rookmelder, die beide gebruik maken van SmartThings. Dat is het platform van Samsung waarop allerlei slimme apparaten kunnen worden aangesloten. Ook andere fabrikanten kunnen SmartThings integreren in hun IoT-apparaten. Er werden in totaal 499 apparaten vergeleken.
 

Authenticatie

In het SmartThings-protocol blijken een aantal belangrijke gaten te zitten waardoor een aanvaller makkelijk apparaten van een afstand kan bedienen door de controle erop over te nemen. Zo is het mogelijk een rookmelder te laten af gaan, of een slot te ontgrendelen - dingen die je niet echt in je slimme huis wil hebben.

Het probleem zit in het Auth0-authenticatieprotocol. Dat is door aanvallers te kopiëren, waardoor je vanaf een afstandje een slim apparaat kunt bedienen.
 

Moeilijk te reproduceren

De onderzoekers geven toe dat dat niet makkelijk is voor een hacker. Die moet namelijk eerst een phishing-aanval uitvoeren waardoor een slachtoffer op een malafide link moet klikken. Ook zou de aanval mogelijk zijn door een foute app in de SmartThings-store te plaatsen, een app-winkel waarin allerlei verschillende SmartThings-applicaties staan. Dat is in de praktijk vrijwel onmogelijk, omdat Samsung er een rigoreus testbeleid op nahoudt.
 

Vragen over veiligheid

Toch stipt het onderzoek wel een aantal belangrijke vragen aan over de beveiliging van slimme apparaten. Beveiligingsonderzoekers roepen namelijk al jaren dat het Internet of Things grote risico's met zich meeneemt, omdat er zo veel verschillende apparaten en protocollen met elkaar praten dat er wel ergens een beveiligingsgat moet zitten.

Samsung zegt dat het risico op misbruik minimaal is, omdat er zo veel verschillende specifieke handelingen moeten worden uitgevoerd. De onderzoekers wijzen er echter op dat de applicaties veel meer rechten hebben dan zou moeten, waardoor een rookmelder kan worden misbruikt om een pincode te vinden voor een slot.

Deel dit artikel
Voeg toe aan favorieten