Onderzoekers hebben twintig kwetsbaarheden gevonden in de SmartThings Hub van Samsung. Aanvallers konden onder meer ‘slimme’ sloten openen en bij mensen binnengluren via internetcamera’s.
Het onderzoek werd uitgevoerd door Cisco Talos dat er een blogpost aan heeft geweid. De hub vormt het hart van Samsungs huisautomatisering. Apparaten zoals lampen, thermostaten en camera’s worden ermee verbonden. De SmartThings Hub gebruikt Linux als basis en werkt met draadloze standaarden zoals Zigbee, Z-Wave en Bluetooth. Zo kunnen onder meer deurbellen van het merk Ring en lampen van Philips Hue worden bediend.
Door de kwetsbaarheden konden aanvallers sloten onklaar maken en detectiesystemen uitschakelen. Ook het op afstand in- en uitschakelen van verbonden apparaten was mogelijk, net als het opstoken (of uitzetten) van de verwarming. Overigens was het relatief lastig gebruik te maken van de fouten. Pas als een aanvaller een reeks kwetsbaarheden zou misbruiken, kon hij serieuze schade aanrichten.
Inmiddels hebben de onderzoekers van Cisco Talos de bevindingen gedeeld met Samsung. Daarop is er een patch ontwikkeld dat automatisch wordt verspreid naar klanten. De onderzoekers raden bezitters van de SmartThings Hub wel aan te controleren of deze patch correct is geïnstalleerd.