HACKET: Samsungs løsning for smarte hjem er ikke sikker nok.

HACKET: Samsungs løsning for smarte hjem er ikke sikker nok.

Samsungs IoT-løsning er en åpen dør

Sikkerhetsforskere har åpnet og utnyttet Samsungs produktserie for smarte hjem og tingenes internett.

Det er en rekke brister og svakheter i sikkerheten til Samsungs produktserie Smartthings, som er Tingenes Internett-produkter (IoT – Internet of Things) lagd for smarte hjem. Sikkerhetsforskere har demonstrert hvordan elendig sikkerhet gjør at døren bokstavelig talt står på vidt gap, skriver våre kolleger i Idg i Sverige.

Det er sikkerhetsforskere ved University of Michigan som har funnet sårbarhetene, som lar angripere lage sine egne digitale nøkler, styre enheter i nettverket eller snoke på eierens pinkoder. Det gjør slett ikke saken bedre at ett av produktene i denne produktfamilien er en smart elektronisk dørlås for ytterdøra.

Smart hjem

Smartthings er et nettverk av intelligente enheter som Samsung står bak. Alt fra brannvarslere og bevegelsessensorer, til akkurat smarte dørlåser. Systemet har sin egen appstore, som ifølge sikkerhetsforskerne er det største økosystemet for tredjepartsapper for smarte hjem.

Det angriperen må gjøre for å få kontrollen over nettverket, er å lure husets eier til å installere en ondsinnet app fra Smartthings-butikken, eller klikke på en internettlenke med skadelig kode.

Flere problemer

Det finnes en rekke med problemer med hvordan Samsung har bygd opp Smartthings. Ett av problemet er sikkerhetsprotokollen OAuth, som er dårlig implementert og derfor gjør det mulig å lure inn skadelig kode i løsningen.

Appene til produktene kan også altfor lett for altfor høye rettigheter i løsningen.

Forskerne viste ett eksempel på en app som skal kontrollere batterinivået i enhetene, men som i virkeligheten hadde muligheten til å starte brannalarmen og nullstille pinkoder. Det står klart skrevet i den lille skriften at appen har høye privilegier, men vi vet alle hvor raskt folk flest klikker seg forbi den dialogboksen.

Skjerpet sikkerhet

I en kommentar til den anerkjente nettsiden The Register svarer Samsung at «de potensielle svakhetene rapporten peker på, dreier seg i hovedsak om ett av to scenarier: At det installeres ondsinnete Smartapper eller at tredjeparts utviklere ikke har fulgt retningslinjene for å holde programvaren til Smartthings sikker».

Etter at sikkerhetsforskerne kontaktet Samsung om saken, har selskapet skjerpet kravene til apper for systemet, og har også gjort retningslinjene for utviklerne langt tydeligere. Samtidig mener sikkerhetsforskerne at det stadig er mulig å omgå sikkerhetstiltakene.

Samsung har altså gjort sin Smartthings-familie av IoT-produkter for smarte hjem sikrere, men det gjenstår altså å se om sikkerhetsinnstrammingene er tilstrekkelige.

Tingenes Internett