Descobertas falhas de segurança na plataforma SmartThings, da Samsung

Por Redação | 04 de Maio de 2016 às 19h16

Pesquisadores da University of Michigan descobriram múltiplas falhas de segurança na plataforma "SmartThings" da Samsung. Uma delas permite que um app malicioso destranque portas, mude códigos de acesso e até dispare o alarme de incêndio. De forma geral, para o ataque ser bem sucedido, o usuário deve instalar um app malicioso direto da loja de aplicativos SmartThings ou acessar algum link suspeito.

Os pesquisadores declararam que a plataforma da Samsung sofre com diversas falhas, mas a que mais preocupa são as permissões de privilégio dadas a alguns apps dessa plataforma. Uma fechadura inteligente pode ter a habilidade de ser trancada remotamente, mas a API SmartThings também permite um comando que pode destravar essa mesma fechadura. Um criminoso pode usar isso como vantagem e proceder para um ataque físico ao morador.

Outra permissão exagerada envolve o acesso dos SmartApps a outros dispositivos. Após finalizar a instalação de um app, a plataforma SmartThings lista todos os dispositivos compatíveis com funções do aplicativo, além de sincronizar as permissões entre todos os devices. Fica claro que um app malicioso pode acabar tendo acesso a mais informações do que realmente precisa.

Como prova de suas descobertas, os pesquisadores demostraram o conceito de um simples app utilizado para monitorar a duração de bateria de diferentes dispositivos. Ao concordar em permitir o acesso do aplicativo à fechadura inteligente, os pesquisadores não só conseguiram monitorar a duração de bateria dos devices como também conseguiram enviar comandos para trancar ou destrancar portas. Atualmente, 42% dos 499 SmartApps analisados possuem acesso a privilégios similares.

As falhas citadas até aqui dependem de autorização do usuário para acontecer, mas os pesquisadores perceberam que muitoas usuários não sabem quais privilégios de acesso estão sendo autorizados no momento da instalação de um SmartApp. Em uma pesquisa feita com 22 usuários de SmartThings, 91% disseram que permitiriam acesso de suas fechaduras inteligentes ao app de monitoramento de bateria, consequentemente abrindo brechas para o acesso de suas funções de tranca. Somente 14% acreditaram ser possível destrancar e trancar a fechadura inteligente utilizando comandos do aplicativo de bateria.

A equipe responsável pela plataforma SmartThings declarou que as falhas demonstradas na pesquisa já foram documentadas e enviadas aos desenvolvedores. A Samsung também se pronunciou: "As vulnerabilidades em potencial encontradas na pesquisa são dependentes de dois diferentes cenários: A instalação de um SmartApp malicioso ou a falha de terceiros em seguir o guia de segurança de desenvolvimento de aplicativos para SmartThings."

Apesar dos esforços da Samsung em parar os apps maliciosos, o time de pesquisadores da University of Michigan não está convencido da segurança da plataforma: "Dispositivos inteligentes para casa e plataformas de programação associadas a eles vão continuar a surgir", declararam os profissionais. "Mas, as descobertas da pesquisa sugerem que é preciso ter precaução por parte dos novos usuários destes produtos e principalmente dos desenvolvedores. Os riscos são significantes, e dificilmente serão corrigidos com novas atualizações de segurança."

Via: The Verge

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.