'Samsungs Smart Home is ook een onveilig thuis'

Die analyse stemde niet vrolijk. Samengevat komen de bevindingen erop neer dat het SmartTings-platform het toekennen van privileges niet goed bewaakt; apps kunnen daardoor meer functionaliteit aanspreken dan voor de taak van de app nodig is. En de communicatie tussen apps en apparaten wordt onvoldoende afgeschermd, waardoor gevoelige informatie kan uitlekken.

Gesloten deuren te openen

Dat laatste illustreren de onderzoekers met het afvangen van de pincode van een deurslot wanneer de eigenaar die wijzigt. Daarvoor moet de eigenaar dan wel verleid worden een malicieuze link aan te klikken die hem naar een genepte versie van de SmartThings-inlogpagihna leidt. Maar het kan in principe ook met een app die zogenaamd alleen de batterijstatus checkt; het SmartThings-platfrom dwingt namelijk niet af dat de app het daar dan ook bij houdt. Het is volgens de onderzoekers ook mogelijk code binnen te smokkelen in apps. Ze bewezen dat met een app die alleen deuren op slot zou mogen doen en zou mogen ontsluiten. Die kon met wat extra code ertoe gebracht worden om de pincode van het deurslot te wijzigen.

SmartThings-vertegenwoordigers zeggen in een verklaring tegenover ArsTechnica dat ze maatregelen hebben genomen om de lekken te dichten. Die bestaan uit betere inspectie van de apps die toegelaten worden in de SmartThings-appwinkel en betere voorlichting aan de ontwikkelaars. Daarbij is het OAut-mechanisme dat gebruikt wordt om legitieme gebruikers te identificeren versterkt.

De onderzoekers zijn niet overtuigd van de effectiviteit van deze maatregelen. Dat het platform apps niet dwingt zich te beperken tot de functionaliteit die ze voor hun taak nodig hebben, zal volgens hen voor problemen blijven zorgen. Ze hebben hun onderzoeksverslag gepubliceerd op de website van de universiteit van Michigan. Een toelichting geven ze in de video hieronder: