קרדיט: © אנדרו ברוקס/קורביס
האם הבית החכם שלך חכם מדי לטובתו?
בית מלא במכשירים מחוברים כמו מנעולי דלת קדמית, חיישני תנועה, תרמוסטטים ואזעקות עשן, כולם מדברים אל רכזת מרכזית וניתנת לשליטה באמצעות אפליקציה היא ההבטחה של פלטפורמות בית חכם כמוSamsung SmartThings. אבל כל הקישוריות ההדדית של מכשירים ביתיים בעלי ערך גבוה היא גם, ככל הנראה, קטטה להאקרים, רשעים פוטנציאליים וחוקרים יוזמים.
מחקר אבטחה חדש של אוניברסיטת מישיגן בשםניתוח אבטחה של יישומי בית חכם מתפתחיםמדגים כיצד פלטפורמת SmartThings של סמסונג עשויה להיות פגיעה במיוחד להאקרים. המאמר נכתב על ידי ארלנס פרננדס, ג'איאון יונג ואטול פראקש (פרננדס ופרקאש שניהם מאוניברסיטת מישיגן, בעוד יונג הוא חלק ממחקר של מיקרוסופט), המאמר מוצג החודש בסימפוזיון IEEE הקרוב על אבטחה ופרטיות.
החוקרים התמקדו ב-SmartThings מכיוון שהיא, כמו פלטפורמות בית חכם מתפתחות אחרות, מאפשרת פיתוח אפליקציות של צד שלישי וכבר יש מספר רב של אפליקציות ומכשירים שעובדים איתה.
באופן ספציפי, החוקרים היו מודאגים ממה שהם ראו כ"פריבילגיה יתר" של אפליקציות SmartThings, מה שמאפשר להם לגשת לפונקציות נוספות שהם צריכים. לדוגמה, אפליקציה שצריכה רק גישה לרמת הסוללה של מנעול הדלת עשויה לקבל גם גישה למתג ההפעלה/כיבוי של המכשיר.
כדי לבחון את התיאוריות שלהם, צוות המחקר יצר קומץ התקפות מפחידות של הוכחת מושג. באחד, משתמש SmartThings מוריד אפליקציית תוכנה זדונית, שבמקביל עוזרת למשתמש להגדיר מנעול דלת בית חכם, שולחת גם את קוד ה-PIN שנוצר על ידי המשתמש לפורץ לעתיד באמצעות SMS.
צוות המחקר יצר קומץ התקפות מפחידות של הוכחת מושג.
בהתקפה נוספת, החוקרים גונבים אאסימון OAuthעבור אפליקציית אנדרואיד שעובדת עם רכזת SmartThings ואפס את ה-PIN של נעילת הדלת ממחשב מרוחק.
על פי המחקר, "55% מה-SmartApps בחנות זוכים לזכויות יתר בגלל היכולות גסות מדי".
בעוד שמשתמש יקבע אילו מכשירים חכמים יעבדו עם פלטפורמת SmartThings, החוקרים טוענים שהמערכת לא מציגה מספיק מידע על כל יכולות המכשירים אליהם המערכת יכולה לגשת ברגע שהיא הופכת לחלק מהפלטפורמה. כפי שמציינים בעיתון, "ה-SmartApp משיגה גישה לכל הפקודות והתכונות של כל היכולות המיושמות על ידי מטפלי ההתקנים של המכשירים הנבחרים."
האם הבית החכם שלך בסיכון?
מה זה אומר עבור פלטפורמות בית חכם אחרות? החוקרים בחרו ב-Samsung SmartThings בגלל המספר העצום של מכשירים ואפליקציות שעובדים איתה. אבל מה לגבי פלטפורמות אחרות כמו Nest של גוגל וה-HomeKit של אפל?
מהירות אור ניתנת לריסוק
ארלנס פרננדס, שהוא כיום Ph.D. מועמד באוניברסיטת מישיגן, סיפרניתן למעוךשהם אכן הסתכלו על פלטפורמות אחרות, כמו HomeKit עם ארכיטקט דומה ו-Google's Nest, אבל הסתפקו ב-SmartThings כי הם מאמינים שזו פלטפורמה בוגרת יותר. החוקרים ביססו חלק מזה על כך ש-Google Play מציגה בין 100,000 לחצי מיליון הורדות עבור אפליקציית השליטה הליבה של Android SmartThings. פרננדס אמר שהוא מקווה שפלטפורמות אחרות יוכלו ללמוד מהממצאים שלהם ב-SmartThings ולהדביק זכויות יתר.
"לאפליקציה צריכות להיות מספיק יכולות לעשות את העבודה שלה - לא יותר ולא פחות", אמר.
בסוף השנה שעברה, החוקרים שיתפו את התוצאות שלהם עם סמסונג, שאמרה להם שהיא תחמיר את תיעוד הפלטפורמה שלה ואת נהלי הבדיקה. עם זאת, כאשר הצוות ערך מחדש את הבדיקות שלו ביום שישי האחרון, לפחות כמה מהפריצות עדיין היו אפשריות.
כאשר יצרו קשר על ידיניתן למעוךלתגובה, דובר של SmartThings של סמסונג אמר שהם "מודעים לחלוטין" למחקר של אוניברסיטת מישיגן, אך ציין את ההיקף המצומצם של ממצאיהם.
הפגיעויות הפוטנציאליות שנחשפו בדוח תלויות בעיקר בשני תרחישים - התקנת SmartApp זדונית או כישלון של מפתחי צד שלישי לעקוב אחר הנחיות SmartThings כיצד לשמור על אבטחת הקוד שלהם.
SmartThings גם מטיל ספק באחד מתרחישי התקיפה המרכזיים של המחקר.
לגבי ה-SmartApps הזדוני המתוארים, אלה לא השפיעו ולא ישפיעו לעולם על הלקוחות שלנו בגלל תהליכי ההסמכה ובדיקת הקוד של SmartThings כדי להבטיח ש-SmartApps זדוניות לא יאושרו לפרסום. כדי לשפר עוד יותר את תהליכי אישור ה-SmartApp שלנו ולהבטיח שהחולשות הפוטנציאליות המתוארות ימשיכו לא להשפיע על הלקוחות שלנו, הוספנו דרישות סקירת אבטחה נוספות עבור פרסום כל SmartApp.
עם זאת, החברה הוסיפה אז מעין אזהרה של "היזהר קונה":
כפלטפורמה פתוחה עם קהילת מפתחים צומחת ופעילה, SmartThings מספקת הנחיות מפורטות כיצד לשמור על כל הקוד מאובטח ולקבוע מהו מקור מהימן. אם קוד מוורד ממקור לא מהימן, זה יכול להוות סיכון פוטנציאלי בדיוק כמו כאשר משתמש מחשב מתקין תוכנה מאתר צד שלישי לא ידוע, קיים סיכון שתוכנה עשויה להכיל קוד זדוני. בעקבות דוח זה, עדכנו את שיטות העבודה המומלצות המתועדות שלנו כדי לספק הנחיות אבטחה טובות עוד יותר למפתחים.
בונוס: האינטרנט של הדברים, הסבר
יש לך מה להוסיף לסיפור הזה? שתפו אותו בתגובות.
לאנס אולנוף היה הכתב הראשי והעורך ב-Large של Mashable. לאנס שימש כחבר בכיר בצוות העריכה, תוך התמקדות בהגדרת תוכן דעה פנימי ואצור. הוא גם עזר לפתח כישורי סיפור אלטרנטיביים בכל הצוות ויישום של כלי מדיה חברתית במהלך אירועים חיים. לפני שהצטרף ל-Mashable בספטמבר 2011, לאנס אולנוף שימש כעורך ראשי של PCMag.com וסגן נשיא בכיר לתוכן עבור Ziff Davis, Inc. בזמן שהוא שם, הוא הדריך את המותג לקיום דיגיטלי של 100% ופיקח על אסטרטגיית תוכן לכולם מאתרי האינטרנט של זיף דיוויס. הטור הארוך שלו ב-PCMag.com זיכה אותו בפרס ארד מה-ASBPE. Winmag.com, HomePC.com ו-PCMag.com זכו כולם לכבוד בהדרכתו של לאנס. הוא מופיע תכופות בתוכניות חדשות לאומיות, בינלאומיות ומקומיות כולל Fox News, The Today Show, Good Morning America, Kelly and Michael, CNBC, CNN וה-BBC. הוא גם הציע פרשנות ברדיו הציבורי הלאומי והתראיין לעיתונים ותחנות רדיו ברחבי הארץ. לאנס היה דובר אורח מוזמן במספר רב של כנסים טכנולוגיים, כולל SXSW, Think Mobile, CEA Line Shows, Digital Life, RoboBusiness, RoboNexus, Business Foresight ו-Digital Media Wire's Games and Mobile Forum.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
