Samsung heeft meerdere ernstige beveiligingslekken in de SmartThings Hub gedicht waardoor een aanvaller op afstand smart deursloten had kunnen openen, de bewegingssensor van een alarmsysteem had kunnen uitschakelen of met de camera's in een woning had kunnen meekijken.
Het ging in totaal om 20 kwetsbaarheden die door onderzoekers van Cisco waren ontdekt. De SmartThings Hub is een centrale controlhub die verschillende Internet of Things-apparaten beheert, zoals smart stopcontacten, lampen, thermostaten, camera's en andere apparaten die in een smart home zijn terug te vinden. Via een smartphone kan de gebruiker verbinding met de SmartThings Hub maken en zo aangesloten apparaten op afstand bedienen.
De Cisco-onderzoekers ontdekten dat het mogelijk was voor een aanvaller om op afstand code op het apparaat uit te voeren. Door verschillende kwetsbaarheden aan elkaar te koppelen kon zonder enige authenticatie zelfs volledige controle over het systeem worden verkregen. Onder andere door het versturen van een http-verzoek naar de Hub en SQL-injection was het mogelijk om de kwetsbaarheden te misbruiken.
Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn meerdere beveiligingslekken met een 9,9 beoordeeld. Na te zijn ingelicht heeft Samsung een firmware-update voor het apparaat uitgebracht die automatisch wordt geïnstalleerd. Gebruikers van het apparaat krijgen wel het advies om te controleren of ze de update ook hebben ontvangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.