HomeHack στις συσκευές SmartThinQ της LG, χάκερ είχαν σπάσει το IoT.
Οι χρήστες των έξυπνων οικιακών προϊόντων που κατασκευάστηκαν τον ηλεκτρονικό γίγαντα της Νότιας Κορέας LG, μπορούσαν μέχρι πρόσφατα να χρησιμοποιηθούν δραστικά από τους κυβερνοεγκληματίες για να κατασκοπεύουν σε πραγματικό χρόνο τον κόσμο, αποκάλυψε νέα έρευνα.
Εντοπίστηκαν κρίσιμα σφάλματα στην πλατφόρμα εφαρμογών για κινητά και cloud που συνδέονται με τη σειρά SmartThinQ της LG – η οποία υποστηρίζει την τεχνολογία internet of Things (IoT), συμπεριλαμβανομένων των ηλεκτρικών ρομπότ σκούπας , πλυντηρίων ρούχων, ψυγείων και φούρνων που παρακολουθούνται εξ αποστάσεως μέσω του smartphone.
Εμπειρογνώμονες από την εταιρία ασφαλείας Check Point, κατονόμασαν αυτή τη δραστηριότητα ως “HomeHack”, και δίνει την ευκαιρία στους εισβολείς να εκμεταλλευτούν τις ευπάθειες και τα τρωτά σημεία για να πάρουν τον έλεγχο των λογαριασμών των χρηστών της LG, οι οποίοι με τη σειρά τους θα τους επιτρέψουν την πρόσβασή στις συνδεδεμένες συσκευές τους.
“Με τη χειραγώγηση της διαδικασίας σύνδεσης […] ήταν δυνατό ένας χάκερ να εισέλθει στον λογαριασμό του θύματος και να πάρει τον έλεγχο όλων των συσκευών LG SmartThinQ”, εξηγεί η ομάδα.
Σε ορισμένες περιπτώσεις, τα προϊόντα θα μπορούσαν να ενεργοποιηθούν και να απενεργοποιηθούν.
Η εταιρεία υπογράμμισε τις ατέλειες στο σύστημα που δίνουν τον έλεγχο της βιντεοκάμερας στην ηλεκτρική σκούπα ρομπότ Hom-Bot της LG. Στο τέλος, οι ερευνητές αφού κατάφεραν να αποκτήσουν πρόσβαση στην κάμερα μπόρεσαν να παρακολουθήσουν σε πραγματικό χρόνο τι συνέβαινε μέσα στο σπίτι, καθώς η έξυπνη σκούπα βρισκόταν σε λειτουργία και σκούπιζε.
“Αυτή η κάμερα, σε περίπτωση χακαρίσματος του λογαριασμού, θα επέτρεπε στον εισβολέα να κατασκοπεύει το σπίτι του θύματος, χωρίς να το γνωρίζει, με όλες τις προφανείς αρνητικές συνέπειες της εισβολής στην ιδιωτική ζωή και την παραβίαση της προσωπικής ασφάλειας”, δήλωσε η Check Point σε ανάρτηση της.
Τα ευάλωτα σημεία του HomeHack αποκαλύφθηκαν στην LG στις 31 Ιουλίου 2017, με την εταιρεία ηλεκτρονικών να επιδιορθώνει τα σφάλματα με επιτυχία στην εφαρμογή SmartThinQ στα τέλη Σεπτεμβρίου.
“Καθώς όλο και περισσότερες έξυπνες συσκευές χρησιμοποιούνται στο σπίτι, οι χάκερ θα μετατοπίσουν την εστίασή τους από τη στόχευση μιας μεμονωμένης συσκευής, σς πειρατεία των εφαρμογών που ελέγχουν όλο το δίκτυο των συσκευών”, δήλωσε ο Oded Vanunu, επικεφαλής των προϊόντων και έρευνας στις ευπάθειες στην Check Point.
Συνέχισε: “Αυτό παρέχει στους κυβερνοεγκληματίες ακόμα περισσότερες ευκαιρίες να εκμεταλλεύονται τα ελαττώματα του λογισμικού, να προκαλούν διαταραχές στα σπίτια των χρηστών και να έχουν πρόσβαση στα ευαίσθητα δεδομένα τους.
“Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους ασφάλειας και της ιδιωτικότητας όταν χρησιμοποιούν τις συσκευές IoT και είναι απαραίτητο οι κατασκευαστές IoT να επικεντρωθούν στην προστασία των έξυπνων συσκευών από επιθέσεις, εφαρμόζοντας ισχυρή ασφάλεια κατά το σχεδιασμό του λογισμικού”.
Οι πωλήσεις της ρομποτικής ηλεκτρικής σκούπας Hom-Bot ανήλθαν στις 400.000 το πρώτο εξάμηνο του 2016. Το 2016, η LG δήλωσε περίπου 80 εκατομμύρια έξυπνες οικιακές συσκευές είχαν πουληθεί παγκοσμίως.
“Η LG Electronics σχεδιάζει να συνεχίσει να ενισχύει τα συστήματα ασφάλειας λογισμικού της καθώς και να συνεργάζεται με παρόχους λύσεων στον κυβερνοχώρο, όπως το Check Point, για να παρέχει ασφαλέστερες και πιο βολικές συσκευές”, δήλωσε η Koonseok Lee, διευθυντής της έξυπνης ομάδας ανάπτυξης της LG.
Είπε ότι η εταιρεία εξακολουθεί να σχεδιάζει να επεκτείνει το φάσμα προϊόντων IoT στο μέλλον.
Η Check Point ενημέρωσε τους χρήστες για να βεβαιωθεί ότι έχουν εγκαταστήσει τις τελευταίες ενημερώσεις ασφαλείας για κινητά – οι οποίες μπορούν να γίνουν μέσω των καταστημάτων Google Play και Apple. Οι έξυπνες οικιακές συσκευές της LG θα πρέπει επίσης να ενημερώνονται με την πιο πρόσφατη έκδοση λογισμικού μέσω του πίνακα εργαλείων εφαρμογής SmartThinQ.
