Samsung SmartThings kwetsbaar voor social engineering
Het openen van een kwaadaardige link of het installeren van een kwaadaardige app is niet alleen een risico waar computer- en smartphonegebruikers rekening mee moeten houden. Ook gebruikers van het SmartThings-platform van Samsung kunnen op deze manier worden aangevallen.
Dat hebben onderzoekers van de Universiteit van Michigan (pdf) aangetoond. Het SmartThings-platform van Samsung biedt een appstore en allerlei apps om slimme huizen mee te bedienen. De onderzoekers ontdekten echter verschillende manieren waardoor ze met behulp van gebruikers misbruik van dit platform kunnen maken om bijvoorbeeld toegang tot woningen te krijgen.
Aanvallen
In totaal werden vier aanvallen gedemonstreerd. Drie van de vier aanvallen vereisen dat gebruikers een kwaadaardige app uit de SmartThings-appstore installeren. Vervolgens is het mogelijk om het brandalarm af te laten gaan, kan de 'vakantiemodus' van de woning worden uitgeschakeld en kan een ingevoerde pincode van een deurslot worden opgeslagen en naar de aanvaller worden teruggestuurd. De vierde aanval vereist dat gebruikers een kwaadaardige link openen en op de SmartThings-appstore inloggen. Vervolgens kan de aanvaller via een redirect de inlogtokens van de gebruiker gebruiken om een eigen pincode aan het deurslot toe te voegen.
Hoewel de aanvallen alleen via social engineering werken, stellen de onderzoekers dat het SmartThings-platform apps teveel toegang tot apparaten geeft en de berichten die deze apparaten versturen. "SmartThings verleent toegang tot het gehele apparaat. Je kunt het vergelijken met iemand die je toestaat om een lamp in je kantoor te vervangen, maar de persoon krijgt uiteindelijk toegang tot het gehele kantoor, waaronder de inhoud van de archiefkasten", zegt informaticaprofessor Atul Prakash.
Volgens onderzoeker Earlence Fernandes is het systeem geschikt om de luxaflex te laten bedienen, maar als gebruikers meer willen moeten ze zich wel van de risico's bewust zijn. "Het is alsof je de toegang tot alle slimme apparaten in je huis aan iemand geeft die je niet vertrouwt en dan het ergste voorstelt dat die persoon kan doen en vervolgens moet je bepalen of je het prima vindt dat iemand zoveel controle heeft." Samsung stelt in een reactie dat het bedrijf naar mogelijkheden kijkt om de problemen te verhelpen. Daarnaast worden alle bestaande en nieuwe apps op eventueel misbruik gecontroleerd. Een overzicht van de vier aanvallen is op deze pagina te bekijken.
FFFFF U U DD
F U U D D
FFFF U U D D
F U U D D
F UUUU DD
Met andere woorden, Microsoft ziet dat op een gebied waar zij willen beginnen of al bezig zijn maar nog niet productie rijp zijn er al een concurent is die een werkend product heeft, dus doen zij wat zij altijd gedaan hebben.
Wat een flutbericht... In principe is alles kwetsbaar voor social engineering.
Om social engineering toe te kunnen passen heb je iets nodig wat ook "Social" is... een apparaat is dat niet en zal zich weinig aantrekken van je "Social" skills.
Het kwestbare gedeelte zit dus niet in het apparaat maar in de persoon die het apparaat bedient, daarom kan mijn inziens een "Thing" nooit kwetsbaar zijn voor Social Engineering
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.