Samsung SmartThings kwetsbaar voor social engineering
Het openen van een kwaadaardige link of het installeren van een kwaadaardige app is niet alleen een risico waar computer- en smartphonegebruikers rekening mee moeten houden. Ook gebruikers van het SmartThings-platform van Samsung kunnen op deze manier worden aangevallen.
Dat hebben onderzoekers van de Universiteit van Michigan (pdf) aangetoond. Het SmartThings-platform van Samsung biedt een appstore en allerlei apps om slimme huizen mee te bedienen. De onderzoekers ontdekten echter verschillende manieren waardoor ze met behulp van gebruikers misbruik van dit platform kunnen maken om bijvoorbeeld toegang tot woningen te krijgen.
Aanvallen
In totaal werden vier aanvallen gedemonstreerd. Drie van de vier aanvallen vereisen dat gebruikers een kwaadaardige app uit de SmartThings-appstore installeren. Vervolgens is het mogelijk om het brandalarm af te laten gaan, kan de 'vakantiemodus' van de woning worden uitgeschakeld en kan een ingevoerde pincode van een deurslot worden opgeslagen en naar de aanvaller worden teruggestuurd. De vierde aanval vereist dat gebruikers een kwaadaardige link openen en op de SmartThings-appstore inloggen. Vervolgens kan de aanvaller via een redirect de inlogtokens van de gebruiker gebruiken om een eigen pincode aan het deurslot toe te voegen.
Hoewel de aanvallen alleen via social engineering werken, stellen de onderzoekers dat het SmartThings-platform apps teveel toegang tot apparaten geeft en de berichten die deze apparaten versturen. "SmartThings verleent toegang tot het gehele apparaat. Je kunt het vergelijken met iemand die je toestaat om een lamp in je kantoor te vervangen, maar de persoon krijgt uiteindelijk toegang tot het gehele kantoor, waaronder de inhoud van de archiefkasten", zegt informaticaprofessor Atul Prakash.
Volgens onderzoeker Earlence Fernandes is het systeem geschikt om de luxaflex te laten bedienen, maar als gebruikers meer willen moeten ze zich wel van de risico's bewust zijn. "Het is alsof je de toegang tot alle slimme apparaten in je huis aan iemand geeft die je niet vertrouwt en dan het ergste voorstelt dat die persoon kan doen en vervolgens moet je bepalen of je het prima vindt dat iemand zoveel controle heeft." Samsung stelt in een reactie dat het bedrijf naar mogelijkheden kijkt om de problemen te verhelpen. Daarnaast worden alle bestaande en nieuwe apps op eventueel misbruik gecontroleerd. Een overzicht van de vier aanvallen is op deze pagina te bekijken.
FFFFF U U DD
F U U D D
FFFF U U D D
F U U D D
F UUUU DD
Met andere woorden, Microsoft ziet dat op een gebied waar zij willen beginnen of al bezig zijn maar nog niet productie rijp zijn er al een concurent is die een werkend product heeft, dus doen zij wat zij altijd gedaan hebben.
Wat een flutbericht... In principe is alles kwetsbaar voor social engineering.
Om social engineering toe te kunnen passen heb je iets nodig wat ook "Social" is... een apparaat is dat niet en zal zich weinig aantrekken van je "Social" skills.
Het kwestbare gedeelte zit dus niet in het apparaat maar in de persoon die het apparaat bedient, daarom kan mijn inziens een "Thing" nooit kwetsbaar zijn voor Social Engineering
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
