Załatano lukę w urządzeniach firmy LG
Firma Check Point poinformowała, że jej zespół odkrył tzw. „HomeHack” - lukę, która naraża miliony użytkowników inteligentnych urządzeń domowych LG SmartThinQ na ryzyko nieautoryzowanego zdalnego sterowania. W ramach współpracy, Check Point pomógł koreańskiej firmie załatać poważną podatność w urządzeniach SmartThinQ.
Podatności w aplikacji mobilnej LG SmartThinkQ oraz aplikacji chmurowej umożliwiły zespołowi badawczemu Check Point na zdalne zalogowanie się do aplikacji SmartThinQ w chmurze, przejęcie właściwego konta użytkownika LG, a następnie pełną kontrolę nad odkurzaczem i zintegrowaną kamerą wideo. Po przejściu kontroli nad kontem konkretnego użytkownika, wszelkie urządzenia LG lub inne związane z tym kontem mogą być kontrolowane przez atakującego - w tym inteligentne odkurzacze, lodówki, piekarniki, zmywarki, zmywarki, pralki i suszarki czy klimatyzatory.
Podatność HomeHack dała atakującym możliwość szpiegowania czynności domowych użytkowników za pośrednictwem kamery wideo w robo-odkurzaczu Hom-Bot, która wysyła obraz na żywo do powiązanej aplikacji LG SmartThinQ w ramach funkcji HomeGuard Security. W zależności od zestawu urządzeń w domu właściciela, napastnicy mogą również włączać i wyłączać zmywarki do naczyń lub pralki.
"W miarę jak coraz więcej inteligentnych urządzeń jest używanych w domu, hakerzy przesuwają punkt ciężkości ataków z celowania na poszczególne urządzenia, na hakowanie aplikacji sterujących sieciami urządzeń. Daje to cyberprzestępcom jeszcze większe możliwości wykorzystywania wad oprogramowania, powoduje zakłócenia w domach użytkowników oraz umożliwia dostęp do ich poufnych danych - twierdzi Oded Vanunu z Check Point. "Użytkownicy muszą być świadomi zagrożeń dla bezpieczeństwa i prywatności podczas korzystania z urządzeń IoT; koniecznym jest również aby producenci skupili się na ochronie inteligentnych urządzeń przed atakami, wdrażając niezawodne rozwiązania bezpieczeństwa podczas projektowania oprogramowania i urządzeń" - dodaje.
Słabe punkty w aplikacji mobilnej SmartThinQ umożliwiły badaczom Check Point stworzenie fałszywego konta LG, a następnie wykorzystanie go do przejęcia właściwego konta użytkownika, co z kolei umożliwiło zdalne sterowanie inteligentnymi urządzeniami użytkownika. Check Point ujawnił podatność systemu LG na zagrożenia 31 lipca 2017 r., zgodnie z wytycznymi dotyczącymi odpowiedzialnego ujawniania informacji. LG odpowiedziało, rozwiązując zgłoszone problemy w aplikacji SmartThinQ pod koniec września.
W celu zapewnienia ochrony swoim urządzeniom, użytkownicy aplikacji mobilnych LG SmartThinQ i urządzeń mobilnych powinni zapewnić ich aktualizację do najnowszych wersji oprogramowania z witryny LG. Check Point zaleca również aktualizację urządzeń fizycznych LG smart home do najnowszych wersji.
