Categories: Sicherheit

Sicherheitslücken in Samsungs Smart-Home-Plattform SmartThings entdeckt

Forscher der University of Michigan sowie von Microsoft Research haben auf Sicherheitsprobleme im Zusammenhang mit Samsungs Heimautomatisierungsplattform SmartThings hingewiesen. Aufgrund diverser Schwachstellen und Designfehler könnten Angreifer die zugehörigen IoT-Produkte auf verschiedene Weise manipulieren.

Im Rahmen ihrer Untersuchung gelang es den Forschern durch Ausnutzen von Sicherheitslücken beispielsweise Türen zu entriegeln, ohne Zustimmung des Nutzers neue virtuelle Schlüssel einzurichten und Feueralarme zu kontrollieren. Sie waren ebenso in der Lage, den Urlaubsmodus auszuschalten, in dem automatisch bestimmte Licht- und Sicherheitseinstellungen angewendet werden, während der Nutzer nicht zu Hause ist.

Ihre vollständigen Ergebnisse wollen die Wissenschaftler der University of Michigan sowie Jaeyeon Jung von Microsoft Research noch diesen Monat in einem Bericht namens „Security Analysis of Emegring Smart Home Applications“ veröffentlichen und Ende Mai auf dem IEEE Symposium in San Jose vorstellen. Ihnen zufolge enthält die von Samsung im August 2014 zugekaufte IoT-Plattform „bedeutende“ Designschwächen. So habe es nicht lange gedauert, erfolgreiche Proof-of-Concept-Angriffe für die SmartThings-Systeme zu entwickeln.

Das Forscherteam erstellte während seiner Tests eine mit Schadcode infizierte SmartThings-App, die in freier Wildbahn von einem unbedarftem Nutzer heruntergeladen oder über eine manipulierte Webseite installiert werden könnte. Diese Malware-App, die sich als Akkustandsmonitor ausgab, war in der Lage, das IoT-Netzwerk zu überwachen, einen neuen PIN-Code für intelligente Türschlösser zu vergeben und diesen Code an einen Angreifer zu übermitteln.

Loading ...

Mit der App ließ sich auch der Urlaubsmodus deaktivieren. In diesem regelt die SmartThings-Plattform in Abwesenheit des Nutzers automatisch die Beleuchtung im Haus oder fährt Rollläden selbständig herauf und herunter, um den Eindruck zu erwecken, dass jemand zu Hause ist, und so potenzielle Einbrecher abzuschrecken.

Darüber hinaus demonstrierten die Sicherheitsexperten, wie eine bestehende von dem IoT-System eingesetzte SmartApp aus der Ferne manipuliert werden kann, um einen Ersatztürcode zu generieren. Dazu programmierten sie eine zusätzliche PIN für das elektronische Schloss, was mit der ursprünglichen SmartApp eigentlich nicht vorgesehen war.

Nach Angaben der Forscher umfasst der SmartThings App Store über 500 Anwendungen zur Heimsteuerung. Viele davon sicherten sich jedoch Zugriffsrechte, die sie eigentlich nicht benötigten und die erst zu den geschilderten Sicherheitsproblemen führten. Dies sei bei mehr als 40 Prozent der Apps der Fall.

„SmartThings gewährt standardmäßig Zugang auf vollständiger Geräteebene, statt in einem eingeschränkten Bereich“, erklärte Atul Prakash, Professor für Computerwissenschaften und -Technik an der University of Michigan. „Das ist so, als ob Sie jemandem die Erlaubnis erteilen, die Glühlampe in ihrem Büro auszutauschen, er letztlich aber Zugang zu ihrem gesamten Büro hat, einschließlich den Inhalten ihrer Aktenschränke.“

ANZEIGE

Interview mit Samsungs SSD-Spezialist Marcel Binder

Im Interview mit ZDNet erläutert Marcel Binder, Technical Product Manager Marketing bei Samsung, die Vorteile durch den Einsatz von SSDs. Dabei geht er auch auf aktuelle Schnittstellen, Speicherdichten sowie Samsung V-NAND-Technik ein.

Studienleiter Earlence Fernandes erklärte, dass Samsungs Plattform sich gut zur Steuerung von Basisfunktionen wie das Absenken der Rollläden eigne. Anwender sollten sich ihm zufolge aber genau überlegen, wie viel Kontrolle über ihr Haus sie in Abwesenheit an ein Computersystem abgeben wollen.

SmartThings-CEO Alex Hawkinson bestätigte in einem Blogbeitrag die von den Wissenschaftlern aufgedeckten Probleme. In Kooperation mit den Forschern habe man in den vergangenen Wochen daran gearbeitet, die Lücken zu schließen. Es sind auch schon Updates für die SmartThings-Plattform verfügbar, die einige der Schwachstellen beseitigen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Beta 3 von Android 15: Google stellt neue Sicherheitsfunktionen vor

Android 15 erreicht den Meilenstein Platform Stability. Die neue OS-Version verbessert die Implementierung von Passkeys…

12 Stunden ago

Apple entwickelt Hochsicherheits-OS für seine KI-Rechenzentren

Es soll die Grundlage für die Sicherheitsfunktion Private Compute Cloud bilden. Diese wiederum soll die…

14 Stunden ago

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript Engine V8. Betroffen sind Chrome für Windows, macOS…

20 Stunden ago

Cyberkriminelle umgehen Sicherheitsvorkehrungen mit Powershell-Skripten

Nutzer werden per Social Engineering dazu verleitet, Schadcode in die Windows PowerShell einzugeben. Die Skripte…

2 Tagen ago

In 3 von 4 Büros wird noch gefaxt

Laut Bitkom-Umfrage faxt ein Viertel der Unternehmen häufig oder sehr häufig. Grund ist vor allem…

3 Tagen ago

Salesforce baut KI-Angebot aus

Mehrere neue Copilot-Lösungen sollen Marketiers und Händlern helfen, ihre Kunden kanalübergreifend anzusprechen.

3 Tagen ago