연구원, 삼성 SmartThings와 가정 보안 결함 발견

설계 결함으로 인해 삼성 SmartThings이 통제하는 주택을 위험에 처할 수 있습니다.

보안 연구원 팀이 사이버 공격자에게 다양한 방식으로 인터넷 사물을 손상시킬 수있는 기능을 부여한 삼성의 SmartThings 플랫폼에 여러 가지 보안 허점을 발표했다.

이 팀은 IoT 플랫폼에서 여러 가지 디자인 결함을 발견하고 소프트웨어 취약점을 악용하여 도어 잠금을 해제하고 소유자의 허가없이 새 가상 키를 설정하고 화재 경보를 제어하고 소유자가없는 동안 조명 및 보안 설정을 자동으로 적용하는 휴가 모드를 종료 할 수있었습니다.

마이크로 소프트 리서치의 정재연 (Jaeyon Jung)과 함께 미시간 대 (University of Michigan) 연구원은 이달 말에 산호세 (San Jose)의 IEEE 심포지엄에서 전체 결과를 발표하면서 “신흥 스마트 홈 애플리케이션의 보안 분석”이라는 제목의 논문을 발표 할 예정이다.

이 논문은 IoT 플랫폼에 “중요한”설계 취약점이 있음을 보여 주며 PoC (PoE) 공격이 삼성 SmartThings 시스템에 성공적으로 부과되기까지 오랜 시간이 걸리지 않았습니다.

테스트를 진행하는 동안 연구팀은 야생에서 원치 않는 사용자가 다운로드하거나 악성 링크를 통해 설치할 수있는 악의적 인 SmartThings 앱을 만들었습니다.

이 앱이 설치되면 배터리 수준 모니터로 위장한 “잠금 선택 악성 코드 앱”이 IoT 네트워크를 도청하고 스마트 도어록을위한 새로운 PIN 코드를 설정하여 해당 PIN을 사이버 공격자에게 보낼 수있었습니다.

이 응용 프로그램은 SmartThings 플랫폼의 취약점을 악용하여 연결된 홈 플랫폼의 중요한 기능인 “휴가 모드”를 해제 할 수 있습니다. 플랫폼을 통해 사용자는 자동으로 전원을 켜고 끄고 블라인드와 같은 홈 액세서리를 열고 닫아 잠재적 인 강도를 속여 누군가가 집에 있다고 생각하도록 설정할 수 있지만 연구원의 악의적 인 앱은이 모드를 별도로 끌 수 없습니다 잠재적으로 집을 위험에 처하게합니다.

또한 팀은 IoT 시스템에서 사용되는 기존의 인기있는 SmartApp를 원격으로 악용하여 전자 잠금 장치에 PIN을 추가로 프로그래밍하여 여분의 도어 키를 생성 할 수 있음을 보여줄 수있었습니다. 집에 낯선 사람에게 여분의 열쇠.

설상가상으로 원래 SmartApp는 PIN 코드를 잠금 장치로 프로그래밍하지 않았습니다.

악의적 인 앱을 사용하여 잘못된 메시지를 SmartApp에 ​​삽입하여 화재 경보를 잘못 설정할 수도 있습니다.

팀에 따르면 SmartThings 앱은 집을 관리하기 위해 500 개가 넘는 앱을 호스팅하지만 많은 앱은 필요하지 않은 권한을 요구합니다.이 보안 문제는 복잡합니다.

ransomware 공격의 비용 : 올해 10 억 달러, HTTP 연결을 안전하지 않은 것으로 표시하는 Chrome, Hyperledger 프로젝트가 갱스 터처럼 성장하고있는 지금, 이제는 경로에서 무엇이든 파괴하는 USB 스틱을 구입할 수 있습니다

팀은이 500 가지 응용 프로그램 중 40 % 이상이 “특권 초과”라고 말하면서 IoT 가정이 기본 수준의 보안을 통과 할 경우 변경해야하는 추세를 발견했습니다.

SmartThings 접속 허가는 기본적으로 전체 장치 수준으로, 어떤 협소 한 장치가 아니라 “Atul Prakash, 컴퓨터 과학 및 공학 교수 UM은 말했다.”비유하자면, 누군가에게 사무실의 전구를 변경할 수있는 권한을 부여한다고 말하면서, 그 사람은 또한 서류 정리 캐비닛의 내용을 포함하여 사무실 전체에 액세스 할 수있게됩니다.

이 연구의 리더 인 Earlence Fernandes는 삼성의 플랫폼이 창문과 같은 기본 기능을 제어하는 ​​데는 문제가 없지만 소비자는 초기 단계에서 컴퓨터 시스템에 실제로 원하는 집의 정도를 고려해야한다고 주장했다.

페르난데스는 논평했다.

애플은 서버 측에서 Siri 잠금 화면 우회 보안 결함을 수정하고, 버그 수혜자는 어느 회사가 연구원 현금을 제공 하는가? 사이버 공격자는 어도비 플래시 제로 데이 취약성 공격 툴킷을 통합하고 웹을 통해 해적판을 막을 회사를 만나게된다. 그들은 돈을 지불한다.

혁신, M2M 시장 침체 브라질, 보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 사용자가 중요한 보안 구멍을 고치기 위해 지금 업데이트하도록 촉구 보안, 백악관, 정보 보안 담당자

이어지는 블로그 포스트에서 SmartThings의 CEO 인 Alex Hawkinson은 팀의 연구 결과를 인정하면서 지난 몇 주간 SmartThings과 연구원들이 이러한 방법을 이용하여 악용 사례를 제거하기 위해 함께 노력했다고 밝혔다.

이러한 취약점으로부터 보호하기 위해 SmartThings 플랫폼에 대한 많은 업데이트가 이미 릴리스되었습니다.

읽기 : 탑픽

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임