SmartThings, Samsung’s hub voor smart-home-apparaten, kampt met verschillende designfouten die veiligheidsrisico’s met zich meebrengen. Dit stelt een team van onderzoekers van de University of Michigan. Het team voegde daad bij woord en ontwikkelde een app waarmee ze verschillende smart-home-apparaten, zoals slimme sloten, konden hacken en vervolgens besturen.
Hoe zit het precies? Volgens de Amerikaanse onderzoekers ligt het probleem in het feit dat vele SmartApps privileges hebben die ze helemaal niet nodig hebben om te functioneren. Wanneer een gebruiker een SmartApp installeert, vraagt deze om toegang tot andere apps, om zijn functie te kunnen uitvoeren. Het probleem is dat de app meer toegang tot andere apps krijgt dan het nodig heeft, met alle (mogelijke) gevolgen van dien.
Kwaadaardige app
Om dit te illustreren ontwikkelde het team van onderzoekers een ‘kwaadaardige app’ die pretendeerde de levensduur van batterijen van verschillende apparaten in de gaten te houden. Wanneer de gebruiker deze SmartApp toegang gaf tot andere apps, hadden de onderzoekers echter veel meer mogelijkheden dan alleen het monitoren van de batterijen. Zo konden ze smart locks openen, een nieuwe pincode voor smart locks instellen en rookmelders af laten gaan. De onderzoekers concluderen dat 42 procent van de SmartApps die momenteel op de markt zijn meer privileges hebben dan nodig.
Toegegeven, deze gevaren bestaan alleen wanneer een gebruiker van SmartThings een kwaadaardige app installeert of op een kwaadaardige link klikt. Echter, het onderzoek van de University of Michigan wees ook uit 91 procent van de ondervraagden de bovengenoemde (of een vergelijkbare) app zou installeren.
Samsung
Samsung liet tegen The Verge weten dat het op de hoogte is van de problemen: “We hebben de richtlijnen voor SmartApps vernieuwd, zodat we ontwikkelaars nog beter kunnen begeleiden op het gebied van veiligheid.”
Daarnaast liet het bedrijf weten dat hun review-systeem ervoor zorgt dat kwaadaardige apps gestopt worden voordat ze daadwerkelijk kwaad kunnen doen. De onderzoekers van de University of Michigan zijn niet overtuigd: “De risico’s zijn aanzienlijk en het is onwaarschijnlijk dat ze op deze manier aangepakt worden.”