image

Samsung SmartThings kwetsbaar voor social engineering

dinsdag 3 mei 2016, 09:59 door Redactie, 6 reacties

Het openen van een kwaadaardige link of het installeren van een kwaadaardige app is niet alleen een risico waar computer- en smartphonegebruikers rekening mee moeten houden. Ook gebruikers van het SmartThings-platform van Samsung kunnen op deze manier worden aangevallen.

Dat hebben onderzoekers van de Universiteit van Michigan (pdf) aangetoond. Het SmartThings-platform van Samsung biedt een appstore en allerlei apps om slimme huizen mee te bedienen. De onderzoekers ontdekten echter verschillende manieren waardoor ze met behulp van gebruikers misbruik van dit platform kunnen maken om bijvoorbeeld toegang tot woningen te krijgen.

Aanvallen

In totaal werden vier aanvallen gedemonstreerd. Drie van de vier aanvallen vereisen dat gebruikers een kwaadaardige app uit de SmartThings-appstore installeren. Vervolgens is het mogelijk om het brandalarm af te laten gaan, kan de 'vakantiemodus' van de woning worden uitgeschakeld en kan een ingevoerde pincode van een deurslot worden opgeslagen en naar de aanvaller worden teruggestuurd. De vierde aanval vereist dat gebruikers een kwaadaardige link openen en op de SmartThings-appstore inloggen. Vervolgens kan de aanvaller via een redirect de inlogtokens van de gebruiker gebruiken om een eigen pincode aan het deurslot toe te voegen.

Hoewel de aanvallen alleen via social engineering werken, stellen de onderzoekers dat het SmartThings-platform apps teveel toegang tot apparaten geeft en de berichten die deze apparaten versturen. "SmartThings verleent toegang tot het gehele apparaat. Je kunt het vergelijken met iemand die je toestaat om een lamp in je kantoor te vervangen, maar de persoon krijgt uiteindelijk toegang tot het gehele kantoor, waaronder de inhoud van de archiefkasten", zegt informaticaprofessor Atul Prakash.

Volgens onderzoeker Earlence Fernandes is het systeem geschikt om de luxaflex te laten bedienen, maar als gebruikers meer willen moeten ze zich wel van de risico's bewust zijn. "Het is alsof je de toegang tot alle slimme apparaten in je huis aan iemand geeft die je niet vertrouwt en dan het ergste voorstelt dat die persoon kan doen en vervolgens moet je bepalen of je het prima vindt dat iemand zoveel controle heeft." Samsung stelt in een reactie dat het bedrijf naar mogelijkheden kijkt om de problemen te verhelpen. Daarnaast worden alle bestaande en nieuwe apps op eventueel misbruik gecontroleerd. Een overzicht van de vier aanvallen is op deze pagina te bekijken.

Image

Reacties (6)
03-05-2016, 10:23 door [Account Verwijderd]
[Verwijderd]
03-05-2016, 10:23 door Anoniem
Bla bla bla bla.. onderzoekers (lees MICROSOFT!) hebben MOGELIJK lek gevonden in een product waar MICROSOFT niets mee te maken heeft.... BLA BLA BLA...


FFFFF U U DD
F U U D D
FFFF U U D D
F U U D D
F UUUU DD

Met andere woorden, Microsoft ziet dat op een gebied waar zij willen beginnen of al bezig zijn maar nog niet productie rijp zijn er al een concurent is die een werkend product heeft, dus doen zij wat zij altijd gedaan hebben.
03-05-2016, 14:19 door Anoniem
"Samsung SmartThings kwetsbaar voor social engineering"

Wat een flutbericht... In principe is alles kwetsbaar voor social engineering.

Om social engineering toe te kunnen passen heb je iets nodig wat ook "Social" is... een apparaat is dat niet en zal zich weinig aantrekken van je "Social" skills.

Het kwestbare gedeelte zit dus niet in het apparaat maar in de persoon die het apparaat bedient, daarom kan mijn inziens een "Thing" nooit kwetsbaar zijn voor Social Engineering
03-05-2016, 18:02 door karma4
[ is die een werkend product heeft, dus doen zij wat zij altijd gedaan hebben.
Je bedoelt: jij doet wat je altijd al doet. Of wil je beweren dat het met iot veiligheid zo fantastisch gaat. Zo open als wat.
04-05-2016, 10:49 door Anoniem
De SmartThings shop van Samsung heeft dus kwaad aardige apps. Samsung moet dus wat aan hun SmartThings shop doen. Zolang je deze apps niet gebruikt is er niks aan de hand. Werk aan de winkel bij Samsung om dit soort apps te weren.
04-05-2016, 13:02 door Anoniem
Zolang gebruikers niet slimmer zijn als de hackers blijft Social Engineering mogelijk
Dat heeft dus totaal niets met IoT of Samsung te maken, maar het hoe Social Engineering werkt ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.