Lo Smart Fridge di Samsung è appena diventato pegno. Che ne pensi del resto della tua casa intelligente?

Una vulnerabilità con il frigorifero intelligente Samsung è stata scoperta da Pen Test Parters, azienda infosec nel Regno Unito. L'implementazione di Samsung della crittografia SSL non controlla la validità dei certificati.

Una vulnerabilità con il frigorifero intelligente Samsung è stata scoperta da Pen Test Parters, azienda infosec nel Regno Unito.  L'implementazione di Samsung della crittografia SSL non controlla la validità dei certificati.
Annuncio pubblicitario

$ 3599 sono un sacco di soldi.

Potrebbe procurarti un'auto di seconda mano decente o un iMac relativamente ingannevole. Potresti comprare 3599 hamburger McChicken o 2589 McDoubles. O potrebbe ottenere il Samsung RF28HMELBSR.

Questo frigorifero (dal nome sfacciato) ha tutto. Ha quattro porte, un colossale spazio di 28 piedi cubici e un display touchscreen LCD abilitato WiFi da 8 "che consente di eseguire qualsiasi operazione, dalla lettura delle notizie, al controllo remoto del proprio smartphone Android.

Se sembra familiare, è perché una volta era presente nella mia lista dei più stupidi prodotti Smart Home di Tweeting Fridges e Riseranze di Riso Controllate dal Web: 9 degli Stupidest Smart Home Appliances Tweeting Fridges e Risonanze Controllate dal Web: 9 della Stupidest Smart Home Apparecchi Ci sono molti dispositivi domestici intelligenti che sono degni del tuo tempo e denaro. ma ci sono anche generi che non dovrebbero mai vedere la luce del giorno. Qui ci sono 9 dei peggiori. Leggi di più . E ho detto che viene fornito con una vulnerabilità di sicurezza enorme e aperta?

Smart Fridge, Stupid Mistake

Sì, per tutto il suo livello di sofisticazione, questo frigorifero è stato dotato di un significativo difetto di sicurezza che potrebbe potenzialmente far sì che un utente malintenzionato raccolga in modo surrettizia le credenziali di accesso a Gmail.

La vulnerabilità è stata segnalata per la prima volta su The Register il 24 agosto e scoperta da Pen Test Parters, società infos basata nel Regno Unito, mentre partecipava a una sfida di hacking Internet of Things (IoT) alla recente conferenza Defcon 23.

Il touchscreen integrato su questo frigorifero consente all'utente di accedere al proprio Google Calendar. Le connessioni ai server di Google sono crittografate tramite la crittografia SSL Cos'è un certificato SSL e ne hai bisogno? Cos'è un certificato SSL e ne hai bisogno? Navigare su Internet può essere spaventoso quando sono coinvolte informazioni personali. Ulteriori informazioni, ma l'implementazione di SSL di Samsung non controlla la validità dei certificati.

RF28HMELBSR

Questo presenta un serio problema di sicurezza, dal momento che chiunque nella rete sarebbe in grado di lanciare un "Man in the Middle" che cos'è un attacco Man-in-the-Middle? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza ha spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Leggi ulteriori attacchi e intercetta le credenziali di accesso dell'utente in transito. Un utente malintenzionato potrebbe anche ottenerli spoofing un punto di accesso o tramite un attacco di deautenticazione wireless.

Samsung ha affermato che sta "indagando su questo argomento il più rapidamente possibile" e presumibilmente sta lavorando senza problemi per emettere una soluzione. Ma questo episodio presenta un'interessante dimostrazione di quanto gravemente la sicurezza possa andare storta sull'Internet of Things.

(In) Sicurezza in un mondo di cose in rete

In passato, abbiamo parlato ampiamente dei rischi posti dall'Internet of Things, entrambi da una privacy Perché l'Internet delle cose è il più grande incubo della sicurezza Perché l'Internet delle cose è il più grande incubo della sicurezza Un giorno, arrivi a casa da lavoro per scoprire che il tuo sistema di sicurezza domestica abilitato al cloud è stato violato. Come è potuto accadere? Con Internet of Things (IoT), potresti scoprire il modo più difficile. Per saperne di più e da un punto di vista sociologico e della sicurezza 7 Motivi per cui l'Internet delle cose dovrebbe spaventarti 7 motivi per cui l'Internet delle cose dovrebbe spaventarti I potenziali benefici dell'Internet delle cose diventano più brillanti, mentre i pericoli sono proiettati nelle ombre silenziose. È tempo di attirare l'attenzione su questi pericoli con sette terrificanti promesse dell'IoT. Leggi di più . Affrontarli è difficile, perché quando si tratta di proteggere l'Internet delle cose, incontriamo alcuni problemi.

In primo luogo, questi dispositivi non sono PC o telefoni, nel rispetto del fatto che sono uniformemente facili da aggiornare (Windows 10 installerà anche aggiornamenti per conto proprio Come disattivare gli aggiornamenti automatici delle app in Windows 10 Come disattivare gli aggiornamenti automatici delle app in Windows 10 La disattivazione degli aggiornamenti di sistema non è consigliata, ma se necessario, ecco come farlo su Windows 10. Ulteriori informazioni), e i produttori dietro di loro sono coinvolti e rilasciano regolarmente aggiornamenti software e sicurezza. Molti prodotti per la casa intelligente non si "aggiornano" via etere, richiedendo l'utilizzo di pacchetti software complicati o inaffidabili, archivi rimovibili o semplicemente non consentendo di aggiornare il firmware.

Come si aggiorna, ad esempio, una caffettiera interconnessa o un termostato computerizzato? Non esiste un modo semplice e universale per farlo.

È anche importante considerare il fatto che molti di questi dispositivi sono ora costruiti da persone normali nelle loro case. Arduino e Raspberry Pi ci hanno permesso di introdurre la connettività di rete e la logica computerizzata in luoghi che non avremmo mai pensato possibili, mentre prodotti come Windows 10 di Microsoft per IoT Windows 10 - Venendo a un Arduino vicino a te? Windows 10 - Venendo a un Arduino vicino a te? Leggi di più ha reso più facile esporre questi dispositivi a Internet più ampio, aprendo contemporaneamente un mondo di opportunità e di rischi.

samsung-experimentationkit

Mentre molti sviluppatori esperti sanno come costruire questi dispositivi in ​​un modo che è sicuro, troppi sviluppatori principianti e hobbisti no.

Quindi arriviamo al problema della longevità. Ancora una volta, questo problema è univocamente endemico nel mondo Smart Home. Perché mentre il tuo PC e il tuo telefono eseguono software creato da aziende con una lunga storia e tasche profonde, la maggior parte dei tuoi dispositivi Smart Home non ha.

La stragrande maggioranza di queste aziende è in fase iniziale per le startup in fase avanzata, molte di queste sono in una fase provvisoria del loro sviluppo. Se si spengono, cosa succede ai prodotti che hanno già spedito? Chi scriverà gli aggiornamenti software e le patch di sicurezza?

Come abbiamo già scritto in passato, le partenze hardware sono difficili Perché le partenze hardware sono difficili: dare vita a ErgoDox Perché le partenze hardware sono difficili: dare vita a ErgoDox Ecco un parere controverso per voi: lanciare l'avvio di un software è facile. Hardware, d'altra parte? Le startup di hardware sono difficili. Davvero difficile. Leggi di più . Già quest'anno, abbiamo visto licenziamenti significativi a Leeo e Wink - due delle più grandi start-up di Smart Home. Molti altri - come i Lumos - non sono riusciti a decollare del tutto.

Ma forse la minaccia più grande e più duratura alla sicurezza di Smart Home e di Internet of Things è semplicemente che questi dispositivi sono costruiti per durare più a lungo di quanto i loro produttori preferirebbero. I sistemi integrati e i prodotti Smart Home possono funzionare, abbastanza felicemente, per anni e anni. Molti di questi non funzionano su un servizio di abbonamento.

Dobbiamo aspettarci che Nest e Philips offrano aggiornamenti per tutto il tempo in cui Microsoft ha supportato Windows XP Cosa significa Windows XPocalypse per te Cosa significa Windows XPocalypse per te Microsoft sta per interrompere il supporto per Windows XP nell'aprile 2014. Ciò ha gravi conseguenze per sia le imprese che i consumatori. Ecco cosa dovresti sapere se stai ancora utilizzando Windows XP. Leggi di più ?

Fuori dalla LAN, Into The Fire

Questi problemi di sicurezza sono notevolmente aggravati dal fatto che molti di questi dispositivi sono collegati a Internet più ampia e accessibili da remoto, introducendo in tal modo una serie di problemi di sicurezza.

Perché quando colleghi qualcosa a Internet, introduci un nuovo vettore di attacco a chiunque sia così motivato. Invece di dover connettersi alla rete domestica, qualcuno potrebbe semplicemente comprometterlo da remoto.

È più facile di quanto pensi anche tu. C'è persino un motore di ricerca per sistemi embedded, chiamato Shodan. Con pochi tasti, puoi trovare sistemi che sono stati esposti a Internet in tutto il mondo - dalle centrali elettriche in Giappone, alle webcam in Olanda e ai telefoni VoIP a New York.

Samsung-shodan-IoT

La semplice ricerca di "Web Cam" espone migliaia di webcam accessibili a distanza. Tuttavia, non ho avuto accesso a nessuno, in quanto ciò avrebbe quasi certamente provocato la violazione del Computer Misuse Act 1990 The Computer Misuse Act: The Law That Criminalizes Hacking in the UK The Computer Misuse Act: The Law That Criminalizes Hacking In The UK Nel Regno Unito, il Computer Misuse Act del 1990 si occupa dei crimini di pirateria informatica. Questa controversa legislazione è stata recentemente aggiornata per fornire all'intelligence britannica GCHQ il diritto legale di hackerare qualsiasi computer. Anche il tuo. Leggi di più .

Samsung-shodan-webcam

È spaventoso. Abbiamo iniziato a introdurre le nostre case su Internet, ed è banalmente facile trovarle e lanciare attacchi mirati su di loro. Dovremmo essere preoccupati.

Quindi cosa si può fare?

I difetti di sicurezza, come quello trovato nel frigorifero Android Samsung, saranno sempre presenti. Finché è facile per i fornitori emettere le correzioni e vengono costantemente aggiornate per tutta la durata dei dispositivi, questo non è un problema.

Ma è importante affrontare gli altri problemi. Devono essere fatti degli sforzi per garantire che gli sviluppatori di prodotti Smart Home e IoT sappiano come sviluppare sistemi sicuri. Ciò potrebbe essere realizzato con maggiore sensibilizzazione con la comunità di sicurezza.

Ci sono molti precedenti per questo. Il progetto OWASP (Open Web Application Security Project) è un progetto che viene subito in mente. Lanciato nel 2004, ha prodotto materiale didattico liberamente disponibile che insegna agli sviluppatori come creare siti Web sicuri e agli hacker come testare correttamente la sicurezza delle applicazioni Web .

OWASP-presentazione

Non c'è ragione per cui qualcosa di simile non possa essere creato per il mondo della casa intelligente e per gli sviluppatori di Internet of Things.

Inoltre, dobbiamo garantire che i sistemi Smart Home vengano aggiornati e mantenuti, anche se i venditori si ritirano. Ciò può essere fatto imponendo a chiunque di rilasciare il proprio codice in un deposito di codice sorgente, in cui il codice viene rilasciato se la società presenta i file per bancarotta o non riesce a mantenere il software in modo soddisfacente.

E come consumatori, dovremmo iniziare a chiedere di più dai venditori. Dovremmo chiedere che i dispositivi che acquistiamo siano supportati con patch di sicurezza per tutta la vita del prodotto. Dovremmo aspettarci che eventuali problemi di sicurezza siano risolti rapidamente e in modo decisivo. Dovremmo aspettarci che i fornitori trattino le minacce alla sicurezza con assoluta trasparenza. E non dovremmo proteggere i venditori che non riescono a soddisfare questo standard scarso.

Si tratta di modifiche relativamente piccole, ma non c'è motivo di pensare che non portino a dispositivi Smart Home più sicuri. Ma cosa ne pensi?

Se hai qualche idea, o hai storie dell'orrore sull'insicurezza dell'IoT, voglio sentirne parlare. Fatemi sapere nei commenti qui sotto, e faremo chat.

Crediti fotografici: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)

In this article