Sicherheitslücken in Samsungs Smart-Home-Plattform SmartThings entdeckt

Forschern der University of Michigan und von Microsoft Research zufolge lassen sie sich ausnutzen, um Türen zu entriegeln, ohne Zustimmung des Nutzers neue PIN-Codes einzurichten und Feueralarme zu kontrollieren. Ein großes Problem sehen sie in SmartApps mit zu vielen Zugriffsrechten.

Forscher der University of Michigan sowie von Microsoft Research haben auf Sicherheitsprobleme im Zusammenhang mit Samsungs Heimautomatisierungsplattform SmartThings hingewiesen. Aufgrund diverser Schwachstellen und Designfehler könnten Angreifer die zugehörigen IoT-Produkte auf verschiedene Weise manipulieren.

Samsungs SmartThings-Plattform zur Heimautomatisierung weist einige Schwachstellen auf (Bild: SmartThings).Im Rahmen ihrer Untersuchung gelang es den Forschern durch Ausnutzen von Sicherheitslücken beispielsweise Türen zu entriegeln, ohne Zustimmung des Nutzers neue virtuelle Schlüssel einzurichten und Feueralarme zu kontrollieren. Sie waren ebenso in der Lage, den Urlaubsmodus auszuschalten, in dem automatisch bestimmte Licht- und Sicherheitseinstellungen angewendet werden, während der Nutzer nicht zu Hause ist.

Ihre vollständigen Ergebnisse wollen die Wissenschaftler der University of Michigan sowie Jaeyeon Jung von Microsoft Research noch diesen Monat in einem Bericht namens „Security Analysis of Emegring Smart Home Applications“ veröffentlichen und Ende Mai auf dem IEEE Symposium in San Jose vorstellen. Ihnen zufolge enthält die von Samsung im August 2014 zugekaufte IoT-Plattform „bedeutende“ Designschwächen. So habe es nicht lange gedauert, erfolgreiche Proof-of-Concept-Angriffe für die SmartThings-Systeme zu entwickeln.

Das Forscherteam erstellte während seiner Tests eine mit Schadcode infizierte SmartThings-App, die in freier Wildbahn von einem unbedarftem Nutzer heruntergeladen oder über eine manipulierte Webseite installiert werden könnte. Diese Malware-App, die sich als Akkustandsmonitor ausgab, war in der Lage, das IoT-Netzwerk zu überwachen, einen neuen PIN-Code für intelligente Türschlösser zu vergeben und diesen Code an einen Angreifer zu übermitteln.

Umfrage

Welche Produkteigenschaften müssen 2-in-1-Geräte für den Einsatz in Ihrem Unternehmen erfüllen? Wählen Sie die drei wichtigsten aus.

Ergebnisse anzeigen

Loading ... Loading ...

Mit der App ließ sich auch der Urlaubsmodus deaktivieren. In diesem regelt die SmartThings-Plattform in Abwesenheit des Nutzers automatisch die Beleuchtung im Haus oder fährt Rollläden selbständig herauf und herunter, um den Eindruck zu erwecken, dass jemand zu Hause ist, und so potenzielle Einbrecher abzuschrecken.

Darüber hinaus demonstrierten die Sicherheitsexperten, wie eine bestehende von dem IoT-System eingesetzte SmartApp aus der Ferne manipuliert werden kann, um einen Ersatztürcode zu generieren. Dazu programmierten sie eine zusätzliche PIN für das elektronische Schloss, was mit der ursprünglichen SmartApp eigentlich nicht vorgesehen war.

Nach Angaben der Forscher umfasst der SmartThings App Store über 500 Anwendungen zur Heimsteuerung. Viele davon sicherten sich jedoch Zugriffsrechte, die sie eigentlich nicht benötigten und die erst zu den geschilderten Sicherheitsproblemen führten. Dies sei bei mehr als 40 Prozent der Apps der Fall.

„SmartThings gewährt standardmäßig Zugang auf vollständiger Geräteebene, statt in einem eingeschränkten Bereich“, erklärte Atul Prakash, Professor für Computerwissenschaften und -Technik an der University of Michigan. „Das ist so, als ob Sie jemandem die Erlaubnis erteilen, die Glühlampe in ihrem Büro auszutauschen, er letztlich aber Zugang zu ihrem gesamten Büro hat, einschließlich den Inhalten ihrer Aktenschränke.“

ANZEIGE

Interview mit Samsungs SSD-Spezialist Marcel Binder

Im Interview mit ZDNet erläutert Marcel Binder, Technical Product Manager Marketing bei Samsung, die Vorteile durch den Einsatz von SSDs. Dabei geht er auch auf aktuelle Schnittstellen, Speicherdichten sowie Samsung V-NAND-Technik ein.

Studienleiter Earlence Fernandes erklärte, dass Samsungs Plattform sich gut zur Steuerung von Basisfunktionen wie das Absenken der Rollläden eigne. Anwender sollten sich ihm zufolge aber genau überlegen, wie viel Kontrolle über ihr Haus sie in Abwesenheit an ein Computersystem abgeben wollen.

SmartThings-CEO Alex Hawkinson bestätigte in einem Blogbeitrag die von den Wissenschaftlern aufgedeckten Probleme. In Kooperation mit den Forschern habe man in den vergangenen Wochen daran gearbeitet, die Lücken zu schließen. Es sind auch schon Updates für die SmartThings-Plattform verfügbar, die einige der Schwachstellen beseitigen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

2 Kommentare zu Sicherheitslücken in Samsungs Smart-Home-Plattform SmartThings entdeckt

Kommentar hinzufügen
  • Am 4. Mai 2016 um 6:14 von Frank Furter

    Es gibt gute Gründe, warum „Smart Homes“ auch kritisch betrachtet werden müssen. Wer es schafft, einen Hack zu entwickeln, mit dem sich Zehntausende „Smart Homes“ übenehmen lassen, kann damit die Stromversorgung weiträumig negativ beeinflussen.
    Ein schon heute mögliches Szenario, allerdings mit etwas anderem Ansatz, hat Marc Elsberg in seinem Roman „Blackout“ skizziert.
    http://www.blackout-das-buch.de/

  • Am 4. Mai 2016 um 7:16 von Ein.Brecher

    Fiktives Gespräch:
    Einbrecher: now SmartThings – öffne die Haustür.
    SmartThings: gerne, Sire.
    Pause
    SmartThings: äh, Sire – können Sie bitte noch mal herauskommen und die Tür schließen? Ich habe vergessen nach dem Kennwort zu fragen?
    Einbrecher: now SmartThings: halt den Schnabel
    SmartThings: gerne Sire. Schönen Tag noch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *