Check Point Software Technologies, přední světový poskytovatel kyberbezpečnostních řešení, oznámil, že bezpečnostní výzkumníci objevili zranitelnost HomeHack, která ohrožuje miliony uživatelů chytrých domácích spotřebičů LG SmartThinQ. Zranitelnost vystavuje domácí spotřebiče řady SmartThinkQ riziku neoprávněného vzdáleného ovládnutí.
Zranitelnost v mobilní a cloudové aplikaci LG SmartThinkQ umožnila výzkumnému týmu společnosti Check Point přihlásit se vzdáleně do cloudové aplikace SmartThinQ a převzít kontrolu nad uživatelským účtem LG a získat kontrolu nad vysavačem a jeho integrovanou videokamerou. Jakmile dojde k převzetí kontroly nad konkrétním účtem LG, jakékoli LG zařízení propojené s daným účtem může být ovládáno útočníky – včetně robotických vysavačů, ledniček, trub, praček, sušiček a klimatizací.
Zranitelnost HomeHack umožňuje útočníkům například špehovat domácnost uživatelů prostřednictvím videokamery v robotickém vysavači Hom-Bot, který odesílá živé video do aplikace LG SmartThinQ jako součást funkce HomeGuard Security. Útočníci mohou ovládat prakticky jakékoliv zařízení LG SmartThinQ, například vypínat a zapínat myčky na nádobí, pračky atd.
„V domácnostech se používá stále více a více chytrých zařízení, a hackeři se proto místo útoků na jednotlivá zařízení zaměřují na hacky aplikací, které spotřebiče ovládají. To poskytuje kyberzločincům ještě více příležitostí, jak zneužít slabiny v softwaru a způsobit v domácnostech škody nebo získat přístup k citlivým datům,“ říká Oded Vanunu, ředitel výzkumu produktových zranitelností ve společnosti Check Point. „Uživatelé si musí uvědomovat bezpečnostní rizika, která souvisí s používáním IoT zařízení. Je také nezbytné, aby se IoT výrobci zaměřili na ochranu chytrých zařízení proti útokům a implementovali robustní zabezpečení už při návrhu softwaru a zařízení.“
Zranitelnosti v mobilní aplikaci SmartThinQ umožnily výzkumníkům společnosti Check Point vytvořit falešný LG účet a použít jej k převzetí pravého uživatelského LG účtu a následně získat vzdálenou kontrolu nad chytrými spotřebiči LG. Check Point informoval LG o zranitelnosti 31. července 2017. Společnost LG nahlášený problém v aplikaci SmartThinQ opravila na konci září. „Společnost LG naštěstí zodpovědně poskytla kvalitní záplatu, která zastaví případné snahy o zneužití slabiny v aplikacích a spotřebičích SmartThinQ,“ dodává Oded Vanunu.
„V rámci mise společnosti LG Electronics zlepšit život spotřebitelů po celém světě rozšiřujeme naše portfolio chytrých domácích spotřebičů příští generace a zároveň klademe důraz na vývoj bezpečných a spolehlivých softwarových programů,“ říká Koonseok Lee, Manager of Smart Development Team, Smart Solution BD, LG Electronics. „V srpnu se společnost LG Electronics spojila se společností Check Point Software Technologies a spustila pokročilý rootovací proces, jehož cílem bylo detekovat bezpečnostní problémy a okamžitě aktualizovat proces bezpečnostních záplat. Od 29. září běží bezpečnostní systém v bezproblémové aktualizované verzi minimálně 1.9.20. Společnost LG Electronics plánuje i nadále posilovat své softwarové bezpečnostní systémy a také spolupracovat s poskytovateli kyberbezpečnostních řešení, jako je Check Point, s cílem poskytovat bezpečnější a pohodlnější spotřebiče.“
Uživatelé mobilní aplikace a spotřebičů LG SmartThinQ by se měli ujistit, že je vše aktualizované na nejnovější softwarové verze z webových stránek společnosti LG. Check Point také spotřebitelům doporučuje, aby provedli následující kroky a zabezpečili svá chytrá zařízení a domácí Wi-Fi sítě před útoky a potenciálním vzdáleným ovládnutím:
Aktualizujte aplikaci LG SmartThinQ na nejnovější verzi (V1.9.23). Aktualizaci můžete provést přes Google Play, Apple App Store nebo přes nastavení aplikace LG SmartThinQ.
Aktualizujte svá chytrá domácí zařízení a ujistěte se, že se jedná o nejnovější verzi. Aktualizaci můžete provést v aplikaci SmartThinQ (pokud je aktualizace dostupná, měli byste být upozorněni vyskakujícím oknem)
Chytré spotřebiče a bezpečnostní řešení LG SmartThinQ umožňují uživatelům sledovat a spravovat domácnost pomocí chytrých telefonů. Prodej robotických vysavačů Hom-Bot překročil hranici 400 000 kusů v první polovině roku 2016. V roce 2016 bylo celosvětově expedováno 80 milionů chytrých domácích spotřebičů, což je 64% nárůst oproti roku 2015.
Videoukázku útoku najdete zde
