研究人员发现三星SmartThings平台存在多个漏洞,为攻击者入侵受害者家中敞开大门。
安全研究团队发现在三星SmartThings平台中存在多个安全漏洞,为网络攻击者提供多种攻击受害者家庭物联网(IOT)的能力。
该小组发现了该物联网平台上的多个设计缺陷,利用软件漏洞可以解锁车门,未经主人允许可以设置新的虚拟按键,通过虚假的信息设置打开了智能锁,甚至还可以通过发送虚假信息触发火灾报警器以及关闭度假模式(主人离开后自动调节照明和安全的设置)等。
密歇根大学的研究人员与微软研究院JaeyeonJung一起,发表了一篇主题为“新兴的智能家居应用安全分析”。并在上月下旬的圣何塞IEEE研讨会上展示了其完整的研究成果。文章揭示了物联网平台存在明显的设计漏洞,并表示,不用多久就可以实现概念论证(proof-of-concept)成功地对三星SmartThings系统实施攻击。
危害解析
测试过程中,该研究小组创建了一个恶意SmartThings应用程序,该程序可以通过一个恶意链接被不知情的用户下载或安装。一旦该app安装完成,该“lock-pick恶意软件”就会伪装成电池电量监测器,可以在物联网网络上进行窃听,为智能门锁设置新的PIN码并将新设置的PIN码发送给网络攻击者。
该APP还可以利用SmartThings平台漏洞关闭“度假模式”,一种被广泛使用的功能。设置“度假模式”,用户可以自动设置灯光的开启和关闭,还可以操控家居饰品的打开和关闭,如窗帘等,以欺骗伺机行动的窃贼,使其以为有人在家而终止行动。但研究人员发现,该恶意应用程序能够关闭该模式,使用户家庭面临风险。
此外,该小组还发现,物联网系统中使用的一种流行的SmartApp也可能被攻击者远程利用,“通过编程一个额外的PIN到电子锁”中产生一个备用钥匙,并将该备用钥匙移交给一位“造访”你家的陌生人手中。 该恶意应用程序还可以通过发送虚假信息触发火灾报警器。
根据研究小组的说法,SmartThings应用程序商城有超过500种APP可以控制你的家,这些APP中的大多数会要求一些它们并不需要的特权,这也加剧了安全问题。
研究小组发现,这500个应用程序中超过40%存在“过度提权”的问题,如果物联网家庭想要达到一个基本的安全水平的话,这种趋势必须要注意,也必须改变。
密歇根大学计算机科学与工程系教授Atul Prakash说:“SmartThings这样需要通过App访问其它连接对象的智能家居平台,其实在出现漏洞的时候非常危险。打个比方,如果能够让别人控制办公室的灯,那么就同样有机会让别人获得整个办公室的权限,甚至包括保险柜里的内容。”
研究小组负责人Earlence Fernandes表示:“三星平台在控制基本功能方面(如控制窗帘等)设计精细,但是消费者需要考虑的是,他们究竟能够将多少涉及自身、自家安全的控制程序交给还在起步阶段的物联网网络系统来控制。”
随后,SmartThings首席执行官AlexHawkinson第一时间作出了回应,表示这个漏洞已经被修复,同时已经开始与密歇根大学的团队合作找到更多潜在的漏洞。“在过去的几周里,我们已经通过与研究小组的合作修复了一定数量的漏洞,并且防止更多的漏洞出现。更重要的是,这些漏洞的细节并没有被对外披露,因此并未影响SmartApp的正常使用。”
安全研究团队发现在三星SmartThings平台中存在多个安全漏洞,为网络攻击者提供多种攻击受害者家庭物联网(IOT)的能力。
该小组发现了该物联网平台上的多个设计缺陷,利用软件漏洞可以解锁车门,未经主人允许可以设置新的虚拟按键,通过虚假的信息设置打开了智能锁,甚至还可以通过发送虚假信息触发火灾报警器以及关闭度假模式(主人离开后自动调节照明和安全的设置)等。
密歇根大学的研究人员与微软研究院JaeyeonJung一起,发表了一篇主题为“新兴的智能家居应用安全分析”。并在上月下旬的圣何塞IEEE研讨会上展示了其完整的研究成果。文章揭示了物联网平台存在明显的设计漏洞,并表示,不用多久就可以实现概念论证(proof-of-concept)成功地对三星SmartThings系统实施攻击。
危害解析
测试过程中,该研究小组创建了一个恶意SmartThings应用程序,该程序可以通过一个恶意链接被不知情的用户下载或安装。一旦该app安装完成,该“lock-pick恶意软件”就会伪装成电池电量监测器,可以在物联网网络上进行窃听,为智能门锁设置新的PIN码并将新设置的PIN码发送给网络攻击者。
该APP还可以利用SmartThings平台漏洞关闭“度假模式”,一种被广泛使用的功能。设置“度假模式”,用户可以自动设置灯光的开启和关闭,还可以操控家居饰品的打开和关闭,如窗帘等,以欺骗伺机行动的窃贼,使其以为有人在家而终止行动。但研究人员发现,该恶意应用程序能够关闭该模式,使用户家庭面临风险。
此外,该小组还发现,物联网系统中使用的一种流行的SmartApp也可能被攻击者远程利用,“通过编程一个额外的PIN到电子锁”中产生一个备用钥匙,并将该备用钥匙移交给一位“造访”你家的陌生人手中。 该恶意应用程序还可以通过发送虚假信息触发火灾报警器。
根据研究小组的说法,SmartThings应用程序商城有超过500种APP可以控制你的家,这些APP中的大多数会要求一些它们并不需要的特权,这也加剧了安全问题。
研究小组发现,这500个应用程序中超过40%存在“过度提权”的问题,如果物联网家庭想要达到一个基本的安全水平的话,这种趋势必须要注意,也必须改变。
密歇根大学计算机科学与工程系教授Atul Prakash说:“SmartThings这样需要通过App访问其它连接对象的智能家居平台,其实在出现漏洞的时候非常危险。打个比方,如果能够让别人控制办公室的灯,那么就同样有机会让别人获得整个办公室的权限,甚至包括保险柜里的内容。”
研究小组负责人Earlence Fernandes表示:“三星平台在控制基本功能方面(如控制窗帘等)设计精细,但是消费者需要考虑的是,他们究竟能够将多少涉及自身、自家安全的控制程序交给还在起步阶段的物联网网络系统来控制。”
随后,SmartThings首席执行官AlexHawkinson第一时间作出了回应,表示这个漏洞已经被修复,同时已经开始与密歇根大学的团队合作找到更多潜在的漏洞。“在过去的几周里,我们已经通过与研究小组的合作修复了一定数量的漏洞,并且防止更多的漏洞出现。更重要的是,这些漏洞的细节并没有被对外披露,因此并未影响SmartApp的正常使用。”
还没有评论,来说两句吧...