Samsungs Smart Kylskåp Just Got Pwned. Vad sägs om resten av ditt smarta hem?

Annons

$ 3599 är mycket pengar.

Det kan ge dig en anständig begagnad bil, eller en relativt lurad iMac. Du kan köpa 3599 McChicken-hamburgare eller 2589 McDoubles. Eller så kan du få Samsung RF28HMELBSR.

Detta (snappily-namngav) kylskåp har allt. Det har fyra dörrar, en kolossal 28 kubikfot utrymme och en integrerad, 8 ”WiFi-aktiverad LCD pekskärm som låter dig göra allt från att läsa nyheterna, för att fjärrstyra din Android smartphone.

Om det låter bekant beror det på att det en gång var med på min lista över dummaste Smart Home-produkter någonsin Tweeta frysar och webbkontrollerade riskokare: 9 av de dumaste smarta hushållsapparaternaDet finns många smarta hem enheter som är värda din tid och pengar. men det finns också typer som aldrig borde se dagens ljus. Här är nio av de värsta. Läs mer . Och nämnde jag att det levereras med en massiv, gapande säkerhetssårbarhet?

Smart kylskåp, dumma misstag

Ja, för alla dess sofistikerade skickade detta kylskåp med en betydande säkerhetsbrist som potentiellt skulle kunna se en angripare oskärpa skörda inloggningsuppgifter för Gmail.

Sårbarheten rapporterades först i registret den 24 augusti och upptäcktes av UK-baserade infosec-företag Penna testpartners medan du deltar i en Internet of Things (IoT) hacking-utmaning nyligen Defcon 23 konferens.

Den inbyggda pekskärmen på detta kylskåp gör att användaren kan komma åt sin egen Google Kalender. Anslutningar till och från Googles servrar är krypterade med SSL-kryptering Vad är ett SSL-certifikat och behöver du ett?Att surfa på internet kan vara skrämmande när personlig information är inblandad. Läs mer , men Samsungs implementering av SSL kontrollerar inte certifikatens giltighet.

Detta utgör ett allvarligt säkerhetsproblem, eftersom alla i nätverket skulle kunna starta en "Mannen i mitten" Vad är en man i mittenattack? Säkerhetsjargong förklarasOm du har hört talas om "man-in-the-middle" -attacker men inte är helt säker på vad det betyder, är det här artikeln för dig. Läs mer attackera och fånga upp användarens inloggningsuppgifter under transitering. En angripare skulle också kunna skaffa dem genom att förfalska en åtkomstpunkt eller genom en trådlös avmarkeringsattack.

Samsung har sagt att de är det "Utreda denna fråga så snabbt som möjligt", och arbetar förmodligen platt för att utfärda en fix. Men det här avsnittet presenterar en intressant demonstration av hur dåligt säkerhet kan gå fel på tingen Internet.

(In) Security in A Networked World of Things

Tidigare har vi talat mycket om de risker som Internet of Things, båda från en integritet Varför tingenes internet är den största säkerhetsmardrömmenEn dag kommer du hem från jobbet för att upptäcka att ditt molnaktiverade hemsäkerhetssystem har brutits. Hur kunde detta hända? Med Internet of Things (IoT) kan du ta reda på det hårda sättet. Läs mer och ur ett säkerhets- och sociologiskt perspektiv 7 orsaker till att tingenes internet ska skrämma digDe potentiella fördelarna med Internet of Things blir ljusa, medan farorna kastas i de tysta skuggorna. Det är dags att uppmärksamma dessa faror med sju skrämmande löften från IoT. Läs mer . Att ta itu med dem är svårt, för när det gäller att säkra saker på Internet stöter vi på några problem.

För det första är dessa enheter inte datorer eller telefoner, med avseende på att de är enhetligt enkla att uppdatera (Windows 10 installerar till och med uppdateringar för din räkning Så här stänger du av automatiska appuppdateringar i Windows 10Det rekommenderas inte att inaktivera systemuppdateringar. Men om det behövs, så gör du det på Windows 10. Läs mer ), och leverantörerna bakom dem är involverade och släpper regelbundet program- och säkerhetsuppdateringar. Många smarta hemprodukter "uppdateras" inte i luften, antingen kräver att du använder komplicerade eller opålitliga programvarupaket, flyttbar lagring eller helt enkelt inte att du kan uppdatera firmware på Allt.

Hur uppdaterar du till exempel en sammankopplad kaffekanna eller en datoriserad termostat? Det finns inget enkelt, universellt sätt att göra det.

Det är också viktigt att ta itu med det faktum att många av dessa enheter nu byggs av vanliga människor i sina egna hem. Arduino och Raspberry Pi har gjort det möjligt för oss att införa nätverksanslutning och datoriserad logik på platser som vi aldrig har trott vara möjliga, medan produkter som Microsofts Windows 10 för IoT Windows 10 - Kommer du till en Arduino nära dig? Läs mer har gjort det lättare att exponera dessa enheter för det bredare Internet, samtidigt öppna en värld av möjligheter och risker.

Medan många rutinerade utvecklare vet hur man bygger dessa enheter på ett säkert sätt, gör inte alltför många nybörjare och hobbyutvecklare det.

Då kommer vi vidare med problemet med livslängd. Återigen är det här problemet som är unikt endemiskt för Smart Home-världen. För medan din PC och telefon har programvara som har byggts av företag med lång historia och djupa fickor, har de flesta av dina Smart Home-enheter inte gjort det.

Den överväldigande majoriteten av dessa företag är nystartade till sena faser, många av dessa är i ett tentativt skede i sin utveckling. Om de stängs av, vad händer med de produkter som de redan har skickat? Vem skriver programuppdateringar och säkerhetsuppdateringar?

Som vi har skrivit om tidigare, hårdvara startar är svåra Varför hårdvaruuppstart är svåra: Att få ErgoDox till livHär är en kontroversiell åsikt för dig: att starta en programstart är lätt. Hårdvara, å andra sidan? Start av hårdvara är svårt. Väldigt svårt. Läs mer . Redan i år har vi sett betydande uppsägningar hos Leeo och Wink - två av de största Smart Start-startarna. Många fler - som Lumos - har misslyckats med att komma helt från marken.

Men kanske är det största och bestående hotet mot Smart Home och Internet of Things-säkerheten helt enkelt att dessa enheter är byggda för att hålla längre än vad deras tillverkare föredrar. Inbyggda system och Smart Home-produkter kan fungera, ganska lyckligt, i flera år. Många av dessa fungerar inte på en prenumerationstjänst.

Ska vi förvänta oss att Nest och Philips kommer att erbjuda uppdateringar så länge som Microsoft stöder Windows XP Vad Windows XPocalypse betyder för digMicrosoft kommer att döda stöd för Windows XP i april 2014. Detta har allvarliga konsekvenser för både företag och konsumenter. Här är vad du bör veta om du fortfarande kör Windows XP. Läs mer ?

Ut ur LAN, in i elden

Dessa säkerhetsproblem förvärras avsevärt av det faktum att många av dessa enheter är det ansluten till det bredare Internet och fjärråtkomligt och därmed inför ett smorgasbord av säkerhet oro.

För när du ansluter något till Internet introducerar du sedan en ny attackvektor till den som är så motiverad. Istället för att behöva ansluta till ditt hemnätverk kan någon helt enkelt kompromissa med det.

Det är lättare än du tror också. Det finns till och med en sökmotor för inbäddade system, heter Shodan. Med bara några knapptryckningar kan du hitta system som har exponerats för Internet över hela världen - från kraftverk i Japan, till webbkameror i Holland och VoIP-telefoner i New York.

Att helt enkelt söka efter ”Web Cam” visar tusentals fjärråtkomliga webbkameror. Jag kom dock inte åt någon, eftersom det nästan säkert skulle leda till mig brott mot lagen om datamissbruk 1990 Datormissbruk: lagen som kriminaliserar hackning i StorbritannienI Storbritannien behandlar Computer Misuse Act 1990 hackingbrott. Twhis kontroversiella lagstiftning uppdaterades nyligen för att ge Storbritanniens underrättelseorganisation GCHQ den lagliga rätten att hacka till vilken dator som helst. Även din. Läs mer .

Det är läskigt. Vi har börjat introducera våra hem på Internet, och det är trivialt lätt att hitta dem och starta riktade attacker mot dem. Vi borde vara bekymrade.

Så vad kan göras?

Säkerhetsfel, som den som finns i Samsungs Android-kylskåp, kommer alltid att finnas där. Så länge det är lätt för leverantörer att utfärda korrigeringar, och de ständigt uppdateras under enhetens livstid, är det inte så mycket problem.

Men det är viktigt att vi tar upp de andra frågorna. Insatser måste göras för att säkerställa att utvecklarna av Smart Home och IoT-produkter vet hur de utvecklar säkra system. Detta kan åstadkommas genom större utsträckning med säkerhetsgemenskapen.

Det finns ett antal prejudikat för detta. De OWASP (Open Web Application Security Project) -projekt är en som uppstår omedelbart. Detta lanserades 2004 och har producerat fritt tillgängligt utbildningsmaterial som lär utvecklare hur man bygger säkra webbplatser och hackare hur man testar säkerheten för webbapplikationer.

Det finns ingen anledning att något liknande inte kunde skapas för smarta hemvärlden och för Internet of Things-utvecklare.

Dessutom måste vi se till att Smart Home-system uppdateras och underhålls, även om leverantörerna viker. Detta kan göras genom att uppmana alla att släppa sin kod i en källkod escrow, där koden släpps om företaget ansöker om konkurs eller på annat sätt inte underhåller programvaran på ett sätt som är tillfredsställande.

Och som konsumenter bör vi börja kräva mer av leverantörer. Vi bör kräva att de enheter vi köper stöds med säkerhetsuppdateringar under produktens livstid. Vi kan förvänta oss att alla säkerhetsproblem lösas snabbt och beslutsamt. Vi kan förvänta oss att leverantörer behandlar säkerhetshot med absolut öppenhet. Och vi bör inte nedlåtande leverantörer som inte uppfyller den magra standarden.

Det här är relativt små förändringar, men det finns ingen anledning att tro att de inte skulle leda till säkrare Smart Home-enheter. Men vad tror du?

Om du har några tankar eller har några skräckhistorier om IoT-osäkerhet, vill jag höra om dem. Låt mig veta i kommentarerna nedan, så ska vi chatta.

Fotokrediter: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)