Un team di ricercatori dell’Università del Michigan a mostrato quanto sia semplice prendere il controllo di un dispositivo della famiglia Samsung SmartThings grazie ad una applicazione opportunamente progettata. In particolare il team ha mostrato come sia possibile intercettare il comando che cambia, ad esempio, il codice di sblocco della porta e quanto sia semplice sostituirlo per un eventuale malintenzionato.
Il problema risiederebbe negli eccessivi privilegi forniti alle applicazioni presenti nello store dedicato. In questo modo per un hacker sarà sufficiente caricare una SmartApp per ingannare l’utente e carpirgli informazioni preziose.
“I ricercatori hanno dimostrato questa scoperta con una applicazione ad hoc che prometteva di monitorare lo stato della batteria dei vari dispositivi. Una volta che l’utente ha acconsentito all’installazione dell’app malevola, i ricercatori non hanno potuto solamente monitorare la batteria ma compiere altre funzioni sulla serratura, come sbloccarla. I ricercatori hanno scoperto che il 42 per cento delle 499 SmartApp analizzate dispone di privilegi eccessivi.”
A questo punto è stato semplice inserire sul dispositivo SmartThings un proprio codice PIN permettendo all’eventuale malintenzionato di aprire la porta senza problemi. Un piccolo sondaggio ha rivelato come gli utenti meno avvezzi all’uso della tecnologia possono essere facilmente invogliati ad installare applicazioni malevole.
Dal canto suo Samsung sta aggiornando le linee guida per gli sviluppatori e sta effettuando una serie di controlli approfonditi sulle applicazioni finora sviluppate. Anche se non sembra che la soluzione possa essere risolta con delle semplici patch software va detto che il sistema SmartThings dispone di altri sistemi di sicurezza, come sensori di apertura delle porte e videocamere di sicurezza.