Un fallo de seguridad descubierto recientemente en el hub SmartThings de Samsung demuestra que incluso los más grandes sistemas inteligentes para el hogar no son a prueba de hackers.

Investigadores de la Universidad de Michigan en conjunto con Microsoft Research han descubierto una vulnerabilidad en la plataforma SmartThings que permite a los piratas informáticos crear eficazmente sus propias claves para la cerradura de una puerta. También se detectó que los privilegios de aplicaciones permitirían a un atacante controlar de forma remota los dispositivos en la red SmartThings y posiblemente robar el PIN para las cerraduras de las puertas de una casa, según el informe de Wired.

El mayor problema es la forma en la cual aplicaciones inteligentes de terceros tienen el control del hogar implementando el protocolo de autorización OAuth. Aunque SmartThings emite directrices sobre cómo se supone que estas aplicaciones deben trabajar, todo lo que se necesitaba era una aplicación que no cumpliera con eso para abrir una falla en el servidor web de SmartThings. Los atacantes fueron capaces de crear un enlace a la página de acceso de SmartThings de Samsung con la capacidad para robar fichas de inicio de sesión del usuario; con esas fichas, un atacante podría crear su propio PIN para las cerraduras de las puertas de una casa sin el conocimiento del usuario.

En la práctica, un correo electrónico falso haciéndose pasar por SmartThings podría ser suficiente para engañar a los usuarios para que entreguen sus fichas de inicio de sesión y permitir el acceso a sus hogares.

Los investigadores también describieron un problema independiente con aplicaciones que piden demasiado control sobre la casa inteligente de un usuario. Como prueba de concepto, los investigadores crearon una aplicación que válida solamente el monitorear del nivel de batería de varios dispositivos, pero que en realidad fue capaz de activar los detectores de humo, desactivar "el modo de vacaciones" y robar el PIN de la puerta del usuario. Los usuarios que no prestan mucha atención a las solicitudes de permisos de una aplicación serían vulnerables.

SmartThings comunicó que ya no está permitiendo a los desarrolladores usar OAuth sin pasar por el proceso de presentación oficial, que incluye una revisión de seguridad del código fuente. La compañía también dice que está haciendo cambios en la plataforma subyacente para "impedir sistemáticamente estas vulnerabilidades potenciales en el futuro."