![최고의 Apple 아케이드 게임](/f/729d996bf8d1efe41cf143282a1d9a2b.jpg?width=100&height=100)
우리 모두 알고 있듯이 삼성은 서울 삼성 타운에 본사를 둔 한국의 다국적 대기업이며 최근에는 연구원들은 삼성 SmartThings 플랫폼에서 취약점을 발견하여 해커가 원격으로 많은 공격을 수행하여 집.
[dropcap] 미시간 대학의 연구원 [/ dropcap]과 기술 대기업 Microsoft는 삼성 SmartThings의 취약점을 발견하여 해커가 일련의 공격. Samsung SmartThings는 "스마트 장치"를 연결하는 선도적 인 온라인 플랫폼 중 하나입니다.
연구원들은 휴가 모드를 비활성화하고 가짜 화재 경보를 유발하는 방법을 보여주는 POC 공격도 개발할 수있었습니다. PoC 코드로 연구원들은 비밀리에 도어록 코드를 변경했습니다. 도어록 코드의 기존 소유자를 납치했습니다. 집에서 휴가 모드를 비활성화하십시오. 화재 경보기 활성화. 삼성 SmartThings의 프레임 워크에있는 두 가지 취약점에 대해 공격이 가능해졌으며 수정하기가 어렵습니다.
보안 팀에 따르면“우리는 SmartThings에 대해 두 가지 형태의 과도한 권한을 발견했습니다. 첫째, 세분화 된 기능으로 인해 기존 SmartApp의 55 % 이상이 과도한 권한을 갖습니다. 둘째, 거친 SmartApp-SmartDevice 바인딩은 SmartApps가 명시 적으로 요청하지 않은 작업에 대한 액세스 권한을 얻도록합니다. 우리의 분석에 따르면 기존 SmartApp의 42 %가 이러한 방식으로 과도한 권한을 갖고 있습니다.”
연구원들은 도어록을 열고 OAuth 토큰을 포착하고 사용자 인증을 위해 애플리케이션과 SmartThings를 사용할 수있었습니다. 공격의 성공적인 구현을 위해 사용자가 다음과 같은 페이지로 연결되는 악성 링크를 통과하도록 강요하는 것으로 충분했습니다. SmartThings 인증의 합법적 인 페이지, 사용자가 모든 자격 증명을 입력하면 해커가 제어하는 주소로 전달됩니다. 이 때문에 합법적 인 사용자로서 집에 액세스 할 수있었습니다.
코드 구현은 두 번째 SmartThings의 취약점으로 인해 사용자를 리디렉션합니다. 이 취약성은 "스마트 홈"애플리케이션 관리 권한을 증가시킵니다. 분석 후 전문가들은 존재하는 499 개의 SmartThings 애플리케이션 중 55 % 이상이 높은 권한과 132 개의 장치 핸들러를 가지고 있다고 밝혔으며 두 가지 주요 결과에 도달했습니다.
Trend Micro의 글로벌 위협 통신 관리자 인 Christopher Budd는 "개발의 세부 사항을 알지 못하면 취약점이 어떻게 노출되었는지 알 수 없습니다"라고 말했습니다. Christopher Budd는 또한 "이것은 IoT 장치뿐만 아니라 데스크톱 응용 프로그램과 모바일 응용 프로그램에서도 광범위하고 일반적인 문제입니다"라고 덧붙였습니다.