Платформа управления «умными» домами Samsung SmartThings Hub содержала 20 уязвимостей

Эксперты Cisco Talos рассказали о двух десятках уязвимостей, обнаруженных в платформе управления «умными» домами Samsung SmartThings Hub. Найденные баги позволяли выполнять произвольные команды и код на уязвимых устройствах, что ставило под угрозу все подключенные к ним IoT-гаджеты.

SmartThings Hub является настоящим центром «умного» дома и используется для управления и мониторинга самых разных гаджетов, от розеток и лампочек, до камер наблюдения и термостатов. Решение работает на прошивке на базе Linux и может взаимодействовать с IoT-устройствами посредством Ethernet, Zigbee, Z-Wave и Bluetooth.

Исследователи Cisco Talos выявили 20 уязвимостей в Samsung SmartThings Hub STH-ETH-250 (версия прошивки 0.20.17). Практически все найденные баги были крайне опасны. Так, замки, подключенные к SmartThings Hub, могли быть открыты; камеры наблюдения использованы злоумышленниками для слежки за их владельцами; датчики движения отключены; «умные» розетки могли включаться и выключаться по воле хакеров, тем самым активируя и деактивируя подключенную к ним технику; термостаты тоже полностью оказывались во власти атакующих.

В итоге, специалисты предполагают, что эксплуатация данных багов могла привести к физическому повреждению бытовых приборов, а возможно, даже более страшным последствиям (к примеру, ничто не мешало злоумышленникам эксплуатировать уязвимости для проникновения в дом, или хакеры могли попытаться удаленно устроить пожар).

В настоящее время разработчики Samsung уже выпустили обновление прошивки, закрывающее найденные уязвимости. Оно уже доступно пользователям уязвимых решений. К счастью, обновления распространяются автоматически, поэтому владельцам не нужно обновлять свои SmartThings Hub вручную.

Источник: https://xakep.ru/2018/07/31/smartthings-hub-flaws/