A bejárati ajtókon hagyott rést a SmartThings-sebezhetőség
A tűzjelző bekapcsolása vagy akár a bejárati ajtó kinyitása előtt is utat nyitottak a Samsung SmartThings IoT platformjának biztonsági hibái. A vállalat már befoltozta a sebezhetőséget, az eset ugyanakkor jól illusztrálja az IoT-biztonság cseppet sem rózsás helyzetét.
Az IoT eszközök piaca, illetve az annak részét alkotó különböző okosotthon-kiegészítők igen felkapottá váltak az elmúlt egy-két évben, népszerűségük pedig ma is töretlenül növekszik. Sok gyártó mégis hajlamos elfeledkezni róla, hogy az online kapcsolattal rendelkező eszközök a megfelelő óvintézkedések híján komoly biztonsági kockázatot jelenthetnek a felhasználók számára - különösen ha az adott eszköz a lakás bejártának zárásáért felel.
Ilyen hibába futott bele a Samsung is, a Michigani Egyetem kutatói a koreai gyártó SmartThings IoT platformján találtak több súlyos sebezhetőséget, amelyek több távolról végrehajtható támadásnak is utat engedtek. A szóban forgó, nyílt SmartThings platformot a Samsung még 2014-ben vásárolta fel, a megoldás más gyártók eszközeivel is képes együttműködni, vezérlésüket többféle protokollon keresztül is támogatja, kvázi központi rendszerként szolgál a lakásban telepített számos IoT kütyühöz.
A szakértők szerint a rendszer többféle támadásra is lehetőséget ad, biztonsági réseit kihasználva többek között bekapcsolható a tűzriasztó, illetve a tulajdonosok által beállított nyaralás-üzemmód is leállítható - a legveszélyesebb támadási felületet ugyanakkor a SmartThingsre kapcsolt okos zárak jelentik, amelyek PIN-jei a sebezhetőségeken át megszerezhetők rendszerből, birtokukban pedig távolról kinyithatók a hasonló eszközökkel szerelt bejárati ajtók - a megoldással a szó szoros értelmében hátsó bejárat nyitható az otthoni biztonsági rendszereken.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A platformhoz tartozó alkalmazások vagy SmartAppok egyik Achilles-sarkát a túlságosan kiterjedt jogosultságok jelentik, annak dacára, hogy a platformhoz tartozik jogosultságszeparációs modell. Az appok így jóval több műveletet hajthatnak végre a hozzájuk tartozó eszközökön, mint arra funkcióikat tekintve szükség lenne. A másik fő gyengeség a SmartThings eseményalrendszerében rejlik, amelyet az eszközök az appokkal való, aszinkron kommunikációra használnak, az itt küldött "események" vagy eventek gyakran megfelelő védelem nélkül tartalmaznak olyan érzékeny adatokat, mint belépési információk vagy PIN kódok.
A fentebb említett zár feltöréséhez a szakértők egy a SmartThings alkalmazásboltjából letöltött alkalmazást használtak, pontosabban azt az autentikációs OAuth tokent, amelyet az app használt a platformmal való kommunikációra. Utóbbi megszerzését az app fölöslegesen emelt jogosultságai, illetve a SmartThings hibás OAuth implementációja tették lehetővé. Ezeket kihasználva a kutatók egy olyan hivatkozást küldhettek a felhasználó felé, amely bár a hivatalos SmartThings bejelentkezési oldalra vezetett, kártékony kód befecskendezésével a szakértők képesek voltak megszerezni a megadott adatokat, amelyekkel aztán ugyanúgy hozzáférhettek az adott eszközökhöz, mint a tulajdonos.
A kutatást végző Earlence Fernandes, Jaeyeon Jung és Atul Prakash biztonsági szakértők elsősorban azért döntöttek úgy, hogy a Samsung IoT platformját veszik górcső alá, mert jelenleg ez a legnagyobb hasonló ökoszisztéma a maga 499 alkalmazásával. A kutatók eredményeiket már korábban közölték a vállalattal, amely hivatalos állásfoglalása szerint már korábban észlelte a hibákat, az elmúlt hetekben pedig a szakértőkkel közösen dolgozott azok javításán és a platform biztonságosabbá tételén.
A gyártó szerint a sebezhetőség két esetben fordulhat elő: egy fertőzött SmartApp telepítésekor, illetve ha a külső fejlesztők nem követik a SmartThings kódolására vonatkozó biztonsági előírásokat. A cég szerint a fertőzött SmartApps applikáció nem jelentett tényleges fenyegetést a Samsung felhasználóira nézve, ugyanis a SmartThings platformhoz tartozó tanúsítványok és kódok felülvizsgálata már a közzététel előtt kiszűri a kártékony alkalmazásokat. A gyártó emellett a biztonsági rés felfedezését követően további vizsgálati követelményekkel egészítette ki a platformot.
A kutatásról a szakértők a május végi IEEE biztonsági szimpóziumon számolnak be részletesen, addig is az érdeklődőknek lehetőségük van elolvasni a kapcsolódó tanulmányt.