Tags:
Node Thumbnail

ทีมวิจัยร่วมระหว่างมหาวิทยาลัยมิชิแกนและ Microsoft Research รายงานถึงการวิเคราะห์ความปลอดภัยของเฟรมเวิร์ค SmartThings ที่ตอนนี้อยู่ภายใต้ซัมซุง (รีวิวอุปกรณ์ใน Blognone) โดยวิเคราะห์เฟรมเวิร์คสำหรับส่วน SmartApps ที่เปิดให้พัฒนาเข้ามาพัฒนาแอปพลิเคชั่นควบคุมบ้านได้ พบว่ามีแนวโน้มที่เฟรมเวิร์คจะให้สิทธิ์กับแอปพลิเคชั่นเกินความจำเป็น จนกระทั่งทำให้แอปพลิเคชั่นสามารถเข้าถึงข้อมูลสำคัญๆ ได้ทั้งที่ฟังก์ชั่นการทำงานไม่จำเป็น

ข้อจำกัดของเฟรมเวิร์ค SmartApps คือการผูกแอปพลิเคชั่นเข้ากับอุปกรณ์ โดยที่เมื่อผูกเข้าด้วยกันแล้ว แอปพลิเคชั่นจะสามารถเข้าถึงการทำงาน (capability) ทั้งหมดของอุปกรณ์ได้ทันที แนวทางนี้ทำให้แอปพลิเคชั่นที่ไม่ควรเข้าถึงข้อมูลสำคัญ เช่นแอปพลิเคชั่นดูแลระดับแบตเตอรี่ของอุปกรณ์ในบ้าน กลับสามารถเข้าถึงข้อมูลสำคัญเช่นสั่งปลดล็อกประตูบ้านได้ รวมไปถึงการขอรับข้อมูลเหตุการณ์ (event) จากอุปกรณ์ เมื่อแอปพลิเคชั่นขอรับเหตุการณ์แล้ว ก็จะได้รับข้อมูลทั้งหมด เช่นประตู ZWave lock จะรายงาน codeReport เป็นรหัสผ่านล่าสุดเมื่อผู้ใช้เปลี่ยนรหัส

เฟรมเวิร์ค SmartThings จะสร้างหมายเลขประจำอุปกรณ์ความยาว 128 บิตทุกครั้งที่อุปกรณ์เชื่อมต่อกับเกตเวย์ใหม่ ตัวเลขนี้คาดเดาได้ยาก แต่หากหาตัวเลขนี้ได้ (เช่นผู้ใช้เคยผูกอุปกรณ์ไว้กับแอป) ทีมวิจัยพบว่าตัวแอปจะสามารถเข้าไปขอรับข้อมูลเหตุการณ์ได้แม้จะไม่ได้รับอนุญาตก็ตามที นอกจากนี้รายงานยังระบุว่าตัว SmartApps อาจจะสร้างข้อมูลเหตุการณ์ปลอมเพื่อหลอกแอปอื่นๆ ได้ ตัวอย่างการสร้างรายงานระบุว่ามีเหตุเพลิงไหม้ ทำให้แอปอื่นๆ ส่งข้อมูลแจ้งเตือน

รายงาน "Security Analysis of Emerging Smart Home Applications" โดย Earlence Fernandes, Atul Prakash จากมหาวิทยาลัยมิชิแกน และ Jaeyeon Jung จาก Microsoft Research นำเสนอในงาน IEEE Symposium on Security and Privacy

ที่มา - Schneier on Security

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 3 May 2016 - 08:56 #908157
panurat2000's picture

อาจจะสร้างข้อมูลเหตุการณ์ปลอมเพื่อปลอกแอปอื่นๆ ได้

ปลอกแอป ?