Saat aplikasi Samsung dan Swann IoT dilanggar, kapan kita akan menghadapi kelemahan keamanan kita?
Aplikasi Swann Security terbukti rentan terhadap peretasan
Pada hari Kamis, kelemahan keamanan terungkap dalam firmware Samsung SmartThings Hub. Cisco Talos mengeluarkan blog tentang berbagai kerentanan. Sebagai Jeremy Cowan melaporkan, ini bukan satu-satunya kelemahan keamanan IoT yang terungkap baru-baru ini. Tidak mengherankan kemudian, bahwa perusahaan semakin gelisah tentang keamanan layanan IIoT mereka di masa depan.
Talos menemukan kerentanan Samsung Smart Things
Cisco Talos telah bekerja sama dengan Samsung untuk memastikan bahwa masalah ini telah diselesaikan dan bahwa pembaruan firmware telah tersedia untuk pelanggan yang terpengaruh.
Hub adalah pengontrol pusat yang memungkinkan pengguna yang dilengkapi smartphone untuk memantau dan mengelola berbagai elektronik rumah tangga yang mendukung Internet of Things (IoT). Ini termasuk:bola lampu; sistem pemanas, ventilasi &pendingin udara (HVAC); kunci pintu, dan lain-lain. Kerentanan ini dapat memungkinkan penyerang untuk menjalankan perintah sistem operasi (OS) atau kode arbitrer lainnya pada perangkat yang terpengaruh.
Firmware yang berjalan di SmartThings Hub berbasis Linux dan memungkinkan komunikasi dengan perangkat IoT menggunakan berbagai teknologi berbeda seperti Ethernet, Zigbee, Z-Wave, dan Bluetooth.
Cacatnya telah diungkapkan kepada Samsung yang sekarang memiliki perbaikan yang tersedia, tetapi kerentanannya dikatakan oleh juru bicara Cisco Talos sebagai "cukup parah".
Mengingat bahwa perangkat ini sering mengumpulkan informasi sensitif, kerentanan yang ditemukan dapat memungkinkan penyerang untuk memantau dan mengontrol perangkat di dalam rumah atau bisnis, atau untuk melakukan aktivitas yang tidak sah. Misalnya:
Kunci pintar yang dikontrol oleh SmartThings Hub dapat dibuka, memungkinkan akses fisik ke rumah.
Kamera yang dipasang di dalam rumah dapat digunakan untuk memantau penghuni dari jarak jauh.
Detektor gerakan yang digunakan oleh sistem alarm penyusup dapat dinonaktifkan.
Smart plug dapat dikontrol untuk mematikan atau menghidupkan sistem penting yang mungkin terhubung.
Termostat dapat dikendalikan oleh penyerang yang tidak berwenang.
Penyerang juga dapat menyebabkan kerusakan fisik pada peralatan atau perangkat lain yang mungkin terhubung ke colokan pintar yang dipasang di dalam gedung pintar.
Kamera keamanan rumah Swann dibajak
Pada saat yang sama minggu lalu, tersiar kabar bahwa kamera keamanan Swann dapat dengan mudah dibajak dan feed video dan audio mereka dapat diakses. Merek kamera keamanan nirkabel yang populer — yang dirancang untuk melindungi bisnis dan rumah — sebenarnya rentan terhadap peretasan mata-mata.
Cacatnya berarti memungkinkan untuk mengakses video dan audio yang dialirkan dari properti orang lain dengan membuat sedikit perubahan pada Swann Security aplikasi Para peneliti menemukan masalahnya setelah BBC melaporkan kasus di mana satu pelanggan menerima rekaman orang lain.
Menanggapi temuan baru, Swann mengatakan kepada BBC bahwa masalahnya terbatas pada satu model, SWWHD-Intcam, juga dikenal sebagai Swann Smart Security Camera.
Mengomentari hal ini, Adam Brown, manajer solusi keamanan di Synopsys yang berbasis di California , sebuah perusahaan pengujian keamanan aplikasi, memberi tahu IoT Now :“Saya pribadi memiliki pengalaman dengan kamera Swann – saya pernah memilikinya, meskipun berbeda dari yang ada di laporan. Saya menemukan bahwa umpan kamera itu sendiri dapat diakses langsung dari jaringan tempat kamera berada, dan ada beberapa kontrol akses atas umpan video tersebut – seperti yang saya ingat, sandi yang di-hardcode – ini adalah praktik yang buruk.
“Jika kamera itu ditempatkan langsung di internet (bukan di belakang firewall) maka mata yang mengintip berpotensi melihat apa yang bisa dilihat kamera saya. Kontrol keamanan lemah yang jelas menunjukkan kegagalan sistemik. Tanpa berspekulasi tentang teknis apa yang salah di sini, saya akan menduga bahwa inisiatif keamanan perangkat lunak di Swann kurang atau bisa mendapatkan keuntungan dari beberapa perbaikan yang disengaja didorong dari manajemen. Pasar kamera sedang mengejar keamanan siber. Pabrikan China terkemuka mengintegrasikan privasi dan keamanan ke dalam kamera dan infrastruktur mereka. Privasi dan keamanan akan menjadi vital bagi industri kamera, yang ditempatkan sebagai solusi keamanan,” Brown menambahkan.
Keamanan adalah perhatian No.1 di IIoT
Jadi, apakah mengherankan jika keamanan menjadi perhatian terbesar bagi bisnis mengingat masa depan mereka di industri Internet of Things (IIoT)? Kami telah menanyakannya sebelumnya, tetapi bencana humsn (dan berita utama yang merusak) seperti apa yang akan terjadi sebelum OEM perangkat mulai menganggap serius keamanan?
Menurut Survei Keamanan IoT Industri SANS Institute 2018Laporkan , keamanan adalah kekhawatiran terbesar dalam hal Industrial Internet of Things.
Dean Ferrando, manajer insinyur sistem di Tripwire komentar:“Perluasan perangkat dan teknologi yang terhubung memiliki risiko. Pengembangan dan penyebaran Industrial Internet of Things membawa keselamatan ke puncak penilaian risiko itu. Hal ini sebagian disebabkan oleh produsen IoT yang mengirimkan perangkat dengan sedikit atau tanpa keamanan, sehingga sangat penting bagi pengembang produk untuk memeriksa secara menyeluruh teknologi di perangkat dan menjamin bahwa keamanan sedang diprogram pada tahap perangkat lunak untuk menghilangkan kekurangan apa pun.
“Ketika perangkat yang terhubung dapat membuat perubahan material di dunia fisik, kehidupan dan keselamatan menjadi sangat relevan dengan keamanan siber. Inilah sebabnya mengapa keamanan dalam infrastruktur kritis harus ditangani pada tingkat tertinggi. Untungnya, ketika perangkat dan masalah baru muncul, ada banyak mekanisme dan teknologi pertahanan untuk dipilih,” Ferrando menyimpulkan. “Jika organisasi industri ingin menghindari serangan siber, penerapan strategi kebersihan keamanan yang menggabungkan pendidikan tenaga kerja dan investasi pada teknologi yang tepat perlu dilakukan.”
Penulis artikel ini adalah Jeremy Cowan (foto kiri), direktur editorial IoT Now dan VanillaPlus.
