חוקרים פרצו ל-SmartThings של סמסונג וחשפו פגיעויות של המערכת

מחקר אבטחה חדש של אוניברסיטת מישיגן, תחת הכותרת "ניתוח אבטחה של יישומים מתעוררים בבית החכם" (Security Analysis of Emerging Smart Home Applications) מדגים כיצד פלטפורמת SmartThings של סמסונג (Samsung) עלולה להפוך את ביתנו לפגיע במיוחד להאקרים ולמני פעולות זדון מאיימות.

החוקרים התמקדו ב-SmartThings – אפליקציה חינמית שנרכשה ביולי 2014 על ידי סמסונג ופותחה כממשק ידידותי לניהול כל האלמנטים המחוברים למערכת האינטרנט של הדברים וחיבור בין הפלטפורמה לאלמנטים השונים שנשלטים באמצעותה. הסיבה לבחירה דווקא ביישום של סמסונג הוא כי היא – כמו פלטפורמות בתים חכמים אחרות – מאפשרת פיתוח של אפליקציות צד שלישי, ויש כבר מספר רב של אפליקציות ומכשירים העובדים עמה.

בעבודתם דיווחו החוקרים כי הם מודאגים ממה שנראה כמו פריבילגיות היתר של יישומי SmartThings, המאפשרת להם לגשת ליותר פונקציות ממה שהם באמת צריכים. לדוגמה, אפליקציה שזקוקה רק לגישה לסוללה של מנעול הדלת, שיש לה גם גישה אל מתג ההפעלה והכיבוי של המנעול.

מבחר מפחיד של התקפות הוכחה

בכדי לבדוק את התיאוריות שלהם, יצרו אנשי צוות המחקר מבחר מפחיד של התקפות הוכחה (proof-of-concept attacks). באחת הוריד משתמש SmartThings יישום זדוני, אשר תוך שהוא מסייע למשתמש להגדיר נעילת דלת כניסה לבית החכם שלו גם שולח באמצעות SMS את קוד ה-PIN למי שמתעניין בפריצה לנכס.

במקרה אחר גנב חוקר אסימון OAuth בעבור אפליקציה לאנדרואיד שעובדת עם רכזת SmartThings, על מנת לאפס את ה-PIN של נעילת הדלת ממחשב מרוחק. על פי המחקר, "55% מהאפליקציות החכמות (SmartApps) בחנות, מחזיקות בזכויות-יתר שמאפשרות להן להיות בלתי מעודנות".

בעוד שהמשתמש יקבע אילו מכשירים חכמים יעבדו עם פלטפורמת SmartThings, החוקרים טוענים כי המערכת אינה מציגה מספיק מידע על כל יכולות הגישה שלה למכשירים שמחוברים דרכה. החשש הוא שאפליקציות חכמות מתחום האינטרנט של הדברים מקבלות גישה לכל הפקודות והתכונות של כל היכולות המיושמות על ידי מטפלי ההתקן של ההתקנים הנבחרים.

בתגובה לממצאי המחקר אמר דובר SmartThings של סמסונג לאתר Mashable כי החברה "מודעת היטב" למחקר של אוניברסיטת מישיגן, אך בחר להגדיש את ההיקף הצר של ממצאי החוקרים.

בגדול טוענת החברה כי הפגיעויות הפוטנציאליות שגילו החוקרים תלויות בעיקר בשני תרחישים – התקנה של אפליקציות חכמות זדוניות או כישלון של מפתחי צד שלישי לעקוב אחר הנחיות SmartThings כיצד לשמור על הקוד שלהם מאובטח.

עם זאת, לאור הממצאים הוסיפה החברה מעין "אזהרה לקונה" שלשונה: "כפלטפורמה פתוחה עם קהילת מפתחים גודלה ופעילה, SmartThings מספקת הנחיות מפורטות כיצד לשמור על כל קוד מאובטח ולקבוע מה הוא מקור מהימן. אם קוד מורד ממקור לא מהימן, הדבר עלול להוות סיכון פוטנציאלי בדיוק כמו שכאשר משתמש מחשב מתקין תוכנה מאתר צד שלישי, לא ידוע אם קיים סיכון שהתוכנה עלולה להכיל קוד זדוני. לאחר קבלת תוצאות המחקר, עדכנו את שיטות התיעוד הטובות שלנו, כדי לספק הדרכה ביטחונית אפילו טובה יותר למפתחים".

המחקר, שנכתב על ידי אירלנד פרננדס, ג'ייאון יונג ואטול פרקאש (פרננדס ופרקאש מאוניברסיטת מישיגן, ויונג המשתייך לצוות Microsoft Research), יוצג החודש בסימפוזיון IEEE הקרוב, שיעסוק בנושאי אבטחה ופרטיות.