Categories: Sicherheit

Sicherheitslücken in Samsungs Smart-Home-Plattform SmartThings entdeckt

Forscher der University of Michigan sowie von Microsoft Research haben auf Sicherheitsprobleme im Zusammenhang mit Samsungs Heimautomatisierungsplattform SmartThings hingewiesen. Aufgrund diverser Schwachstellen und Designfehler könnten Angreifer die zugehörigen IoT-Produkte auf verschiedene Weise manipulieren.

Im Rahmen ihrer Untersuchung gelang es den Forschern durch Ausnutzen von Sicherheitslücken beispielsweise Türen zu entriegeln, ohne Zustimmung des Nutzers neue virtuelle Schlüssel einzurichten und Feueralarme zu kontrollieren. Sie waren ebenso in der Lage, den Urlaubsmodus auszuschalten, in dem automatisch bestimmte Licht- und Sicherheitseinstellungen angewendet werden, während der Nutzer nicht zu Hause ist.

Ihre vollständigen Ergebnisse wollen die Wissenschaftler der University of Michigan sowie Jaeyeon Jung von Microsoft Research noch diesen Monat in einem Bericht namens „Security Analysis of Emegring Smart Home Applications“ veröffentlichen und Ende Mai auf dem IEEE Symposium in San Jose vorstellen. Ihnen zufolge enthält die von Samsung im August 2014 zugekaufte IoT-Plattform „bedeutende“ Designschwächen. So habe es nicht lange gedauert, erfolgreiche Proof-of-Concept-Angriffe für die SmartThings-Systeme zu entwickeln.

Das Forscherteam erstellte während seiner Tests eine mit Schadcode infizierte SmartThings-App, die in freier Wildbahn von einem unbedarftem Nutzer heruntergeladen oder über eine manipulierte Webseite installiert werden könnte. Diese Malware-App, die sich als Akkustandsmonitor ausgab, war in der Lage, das IoT-Netzwerk zu überwachen, einen neuen PIN-Code für intelligente Türschlösser zu vergeben und diesen Code an einen Angreifer zu übermitteln.

Loading ...

Mit der App ließ sich auch der Urlaubsmodus deaktivieren. In diesem regelt die SmartThings-Plattform in Abwesenheit des Nutzers automatisch die Beleuchtung im Haus oder fährt Rollläden selbständig herauf und herunter, um den Eindruck zu erwecken, dass jemand zu Hause ist, und so potenzielle Einbrecher abzuschrecken.

Darüber hinaus demonstrierten die Sicherheitsexperten, wie eine bestehende von dem IoT-System eingesetzte SmartApp aus der Ferne manipuliert werden kann, um einen Ersatztürcode zu generieren. Dazu programmierten sie eine zusätzliche PIN für das elektronische Schloss, was mit der ursprünglichen SmartApp eigentlich nicht vorgesehen war.

Nach Angaben der Forscher umfasst der SmartThings App Store über 500 Anwendungen zur Heimsteuerung. Viele davon sicherten sich jedoch Zugriffsrechte, die sie eigentlich nicht benötigten und die erst zu den geschilderten Sicherheitsproblemen führten. Dies sei bei mehr als 40 Prozent der Apps der Fall.

„SmartThings gewährt standardmäßig Zugang auf vollständiger Geräteebene, statt in einem eingeschränkten Bereich“, erklärte Atul Prakash, Professor für Computerwissenschaften und -Technik an der University of Michigan. „Das ist so, als ob Sie jemandem die Erlaubnis erteilen, die Glühlampe in ihrem Büro auszutauschen, er letztlich aber Zugang zu ihrem gesamten Büro hat, einschließlich den Inhalten ihrer Aktenschränke.“

ANZEIGE

Interview mit Samsungs SSD-Spezialist Marcel Binder

Im Interview mit ZDNet erläutert Marcel Binder, Technical Product Manager Marketing bei Samsung, die Vorteile durch den Einsatz von SSDs. Dabei geht er auch auf aktuelle Schnittstellen, Speicherdichten sowie Samsung V-NAND-Technik ein.

Studienleiter Earlence Fernandes erklärte, dass Samsungs Plattform sich gut zur Steuerung von Basisfunktionen wie das Absenken der Rollläden eigne. Anwender sollten sich ihm zufolge aber genau überlegen, wie viel Kontrolle über ihr Haus sie in Abwesenheit an ein Computersystem abgeben wollen.

SmartThings-CEO Alex Hawkinson bestätigte in einem Blogbeitrag die von den Wissenschaftlern aufgedeckten Probleme. In Kooperation mit den Forschern habe man in den vergangenen Wochen daran gearbeitet, die Lücken zu schließen. Es sind auch schon Updates für die SmartThings-Plattform verfügbar, die einige der Schwachstellen beseitigen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

5 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

6 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago