Het openen van een kwaadaardige link of het installeren van een kwaadaardige app is niet alleen een risico waar computer- en smartphonegebruikers rekening mee moeten houden. Ook gebruikers van het SmartThings-platform van Samsung kunnen op deze manier worden aangevallen.
Dat hebben onderzoekers van de Universiteit van Michigan (pdf) aangetoond. Het SmartThings-platform van Samsung biedt een appstore en allerlei apps om slimme huizen mee te bedienen. De onderzoekers ontdekten echter verschillende manieren waardoor ze met behulp van gebruikers misbruik van dit platform kunnen maken om bijvoorbeeld toegang tot woningen te krijgen.
In totaal werden vier aanvallen gedemonstreerd. Drie van de vier aanvallen vereisen dat gebruikers een kwaadaardige app uit de SmartThings-appstore installeren. Vervolgens is het mogelijk om het brandalarm af te laten gaan, kan de 'vakantiemodus' van de woning worden uitgeschakeld en kan een ingevoerde pincode van een deurslot worden opgeslagen en naar de aanvaller worden teruggestuurd. De vierde aanval vereist dat gebruikers een kwaadaardige link openen en op de SmartThings-appstore inloggen. Vervolgens kan de aanvaller via een redirect de inlogtokens van de gebruiker gebruiken om een eigen pincode aan het deurslot toe te voegen.
Hoewel de aanvallen alleen via social engineering werken, stellen de onderzoekers dat het SmartThings-platform apps teveel toegang tot apparaten geeft en de berichten die deze apparaten versturen. "SmartThings verleent toegang tot het gehele apparaat. Je kunt het vergelijken met iemand die je toestaat om een lamp in je kantoor te vervangen, maar de persoon krijgt uiteindelijk toegang tot het gehele kantoor, waaronder de inhoud van de archiefkasten", zegt informaticaprofessor Atul Prakash.
Volgens onderzoeker Earlence Fernandes is het systeem geschikt om de luxaflex te laten bedienen, maar als gebruikers meer willen moeten ze zich wel van de risico's bewust zijn. "Het is alsof je de toegang tot alle slimme apparaten in je huis aan iemand geeft die je niet vertrouwt en dan het ergste voorstelt dat die persoon kan doen en vervolgens moet je bepalen of je het prima vindt dat iemand zoveel controle heeft." Samsung stelt in een reactie dat het bedrijf naar mogelijkheden kijkt om de problemen te verhelpen. Daarnaast worden alle bestaande en nieuwe apps op eventueel misbruik gecontroleerd. Een overzicht van de vier aanvallen is op deze pagina te bekijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.