Napjainkban már számtalan okoseszköz létezik, és akik igazán haladnak a korral, az olyan otthoni dolgokat is alkalmazásokkal irányítják, mint a bejárati ajtó nyitása-zárása, a mozgásérzékelők, hőfokszabályzók, tűzjelzők, melyek egy központi egységgel kommunikálnak. Többek között alkalmas lehet erre a Samsung által fejlesztett SmartThings is, ám el kell mondani, hogy mint minden elektronikus felületen kommunikáló eszköz esetében, itt is megvan annak a veszélye, hogy a hackerek feltörik a rendszert.
A Michigani Egyetem legújabb, Okosotthonok Alkalmazásainak Biztonsági Elemzése névre hallgató tanulmánya jól demonstrálja, hogy a Samsung SmartThings platformja is sebezhető, ami azt jelenti, hogy a hackerek könnyedén átvehetik az irányítást az ilyen alapon működő lakások digitális rendszere felett. A kutatók főleg azért választották a Samsung platformját, mert ebben is nagyon sok a harmadik fél részéről fejlesztett alkalmazás, illetve nagyon sok más alkalmazás és eszköz képezi a rendszer részét, valamint ez a rendszer a legnépszerűbb.
Annak érdekében, hogy a kutatók a teóriáikat vizsgálni tudják, igen hatékony támadási terveket készítettek, melyek közül az egyikben az volt a lényeg, hogy a letöltött alkalmazással mallware-t juttattak a rendszerbe, ami utána SMS-ben küldte meg a PIN-kódot a “támadóknak”. Egy másik támadásban sikerült az Androidos alkalmazáson keresztül resetelni az ajtó PIN-kódját egy távoli számítógépen keresztül, míg végül arra jutottak, hogy a SmartAppok 55 százaléka alkalmas arra, hogy rajta keresztül viszonylag csekély erőfeszítéssel kellemetlenségek elszenvedői lehessenek az okosotthonok tulajdonosai.
A kutatók az eredményeiket még tavaly közölték a Samsunggal, ahol azt mondták, hogy természetesen foglalkoznak a problémával, ám miután pénteken újra elvégezték a szakemberek a teszteket, azt tapasztalták, hogy még nem igazán változtak a dolgok. Éppen ezért aki esetleg maga is a SmartThings platformot használja, figyeljen oda, hogyan kezeli az okos eszközöket, milyen alkalmazásokat használ, és azokat kikkel osztja meg, nehogy egy nap arra ébredjen, hogy kizárták a saját lakásából, vagy míg oda volt, kipakolták, mert az ajtót távolról kinyitották, a riasztót pedig kikapcsolták.
Frissítés: a Samsung hazai képviselete az alábbiakban reagált a fenti hírekre:
A felhasználóink magánszférájának és adatainak védelme alapvető fontosságú minden SmartThings-hez kapcsolódó fejlesztés esetén. A Michigani Egyetem Microsoft Research jelentésében foglaltak már korábban a tudomásunkra jutottak, és az elmúlt néhány hétben együtt is dolgoztunk a jelentés készítőivel, hogy az iparág növekedésével párhuzamosan folytassuk az okos otthonok egyre biztonságosabbá tételét.
A jelentésben nyilvánosságra hozott biztonsági rés két esetben fordulhat elő: egy vírusos SmartApp alkalmazás telepítésekor, illetve ha a külső fejlesztők nem követik a SmartThings kódolására vonatkozó biztonsági előírásokat. A fertőzött SmartApps applikáció soha nem jelentett fenyegetést a Samsung felhasználóira nézve és ezután sem fog, ugyanis a SmartThings platformhoz tartozó tanúsítványok és kódok felülvizsgálatának folyamata már a közzététel előtt kiszűri a vírusos SmartApp alkalmazásokat.
Annak érdekében, hogy tovább javítsuk a SmartApp alkalmazásaink engedélyezési folyamatát, és hogy a leírt biztonsági rés ne jelentsen kockázatot a felhasználóinknak, bármilyen SmartApp kiadása esetén további biztonsági felülvizsgálati követelményekkel bővítettük a meglévő előírásokat.
A SmartThings egy nyílt platform, amelyhez ma már egy folyamatosan bővülő és egyre aktívabb fejlesztői csapat tartozik. Éppen ezért a SmartThings-hez egy rendkívül részletes útmutatót adtunk ki, amely pontosan meghatározza, miként lehet megtartani a kódolás biztonságát, és pontosan megmondja azt is, mi a megbízható forrás. Ha a kódok egy nem biztonságos forrásból származnak az ugyanolyan lehetséges veszélyforrást jelenthet, mint amikor egy számítógéphasználó egy ismeretlen külső weboldalról tölt le egy szoftvert, amely rosszindulatú kódokat tartalmazhat. A publikált jelentés nyomán frissítettük az ajánlott eljárási leírást, hogy egy minél jobb biztonsági útmutatót kínálhassunk a fejlesztőknek.
