Makkelijk inbreken in Samsungs ‘slimme’ huis

Elektronische snufjes maken internet-der-dingen kwetsbaar.

De dingen van SmartThings: …kwetsbaar…

Dat woord ‘slim’ in combinatie met techniek moeten we maar eens overboord kieperen. Heel erg veel slimmigheid zit er niet aan die elektronische snufjes. Een rookdetector die je doorgeeft of je huis in de fik staat. Moet je dan weer zelf de brandweer bellen als je in Maastricht bent en je in Amsterdam staat? Lekker slim. Een slot met een elektronische sleutel op je telefoon. Het is al vaker aangetoond dat die kraakbaar zijn. Al die elektronische snufjes zijn kraakbaar en dus ook Samsungs elektronische huis (SmartThings), bleek onderzoekers van de universiteit van Michigan en van Microsoft. Het internet-der-dingen lekt en zal waarschijnlijk ook altijd wel zwakke plekken blijven houden. Het is helemaal niet zo dom om een Lips-slot op je voordeur te hebben met een metalen sleutel.

Het internet-der-dingen, het aan het web koppelen van allerlei apparatuur, wordt verkocht als handig, maar is vooral een hoofdpijndossier. Je kunt er namelijk zo lekker makkelijk inbreken, in het systeem en in het huis (voor het uitoefenen van het aloude inbrekersambacht). De onderzoekers slaagden er in verontrustende dingen te doen. Ze konden het rookalarm aanzetten naar willekeur of ze konden een achterdeurtje inbouwen in het elektronische slot op de voordeur. Geruisloos. “Gebruikers moeten beseffen dat ze de controle uit handen geven met sommige toepassingen. Het ergste scenario is dat de aanvaller op elk willekeurig tijdstip je huis kan binnenvallen alsof er geen slot op de deur is, zegt onderzoeker Earlence Fernandes van de universiteit van Michigan.
De onderzoekers beperkten zich tot het SmartThings-platform van Samsung omdat die al honderduizenden gebruikers zou hebben, maar zeer waarschijnlijk geldt hun waarschuwing voor alle elektronische ‘slimmigheden’. Ze maakten bij hun ‘inbraakpogingen’ gebruik van miskleunen zoals zwakheden in het identificatiesysteem (OAuth) die het de inbreker mogelijk maken als de wettige gebruiker in te loggen op het SmartThingsplatform. De onderzoekers pluisden een toepassing voor Android uit, die bedoeld is om diensten van het systeem in te stellen. Daarbij vonden ze een code, die bedoeld was geheim te blijven, waarmee ze aan de slag konden op de SmartThings-server. Zo waren ze in staat een ‘achterdeur’ in het elektronische slot op de voordeur te maken. Daarbij wordt enige list en bedrog gevraagd, zoals een verborgen omleiding, om de inlogcode van eigenaar op de SmartThings-server te ontfutselen. Je zou zelfs hele bossen Samsung-huizen open kunnen stellen door eigenaars te laten klikken op valse webadressen.

Batterijapp

Voor de drie andere voorbeelden, geven de onderzoekers toe, moet wat meer uit de kast komen. De eigenaar moet een kwaadaardige progje accepteren. Dat zou kunnen via een toepassing in de winkel van SmartThings voor, bijvoorbeeld, het bijhouden van de batterijstatus van verschillende apparaten. Dan is het de truc die  toepassing de winkel binnen te krijgen. Dat hebben de onderzoekers niet aangedurfd. Zo’n toepassing zou een veel bredere toegang bieden tot die apparaten dan SmartThings ‘in gedachten’ heeft (gehad). Daarmee zou de vacantiemodus kunnen worden uitgeschakeld, of de rookdetector, kan je de code van het elektronisch slot van de voordeur stelen en smsjes sturen naar de eigenaar.

Samsung zegt er aan te werken, maar bagatelliseert de zaak tevens. “De kwetsbaarheden hangen op twee scenario’s: de installaties van een kwaadaardige prog of het falen van derden om de veigheidsaanbevelingen van SmartThings op te volgen.” Oftewel: de Android-appontwikkelaar is de schuldige. SmartThings wijst er op dat dat certificatie en het beoordelen van de code van de  programma’s van derden ongelukken zoals de onderzoekers beschrijven zullen voorkomen.
Niks aan de hand dus? De onderzoekers houden vol dat SmartThings te fnuiken is. Bovendien betwijfelen ze of SmartThings de kwaadaardigheid in hun coderegels zouden vinden. Ze deden een klein rondje onder SmartThing-eigenaars en leerden dat driekwart geïnteresseerd is in zo’n batterijstatusapp. Ze vinden ook dat de verschillende diensten te veel bevoegdheden hebben om elders gegevens te gebruiken. Dat biedt mogelijkheden tot inbreken. De onderzoekers willen maar zeggen: pas op met die elektronische snufjes. Hang er je huissleutel niet in. De onderzoekers zullen hun bevindingen openbaren op het komende IEEE-congres over webveiligheid en wolken.

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.