Jak hakerzy mogli przejąć kontrolę nad smart-sprzętem LG?

Firma Check Point Software Technologies, będąca wiodącym dostawcą rozwiązań cyberbezpieczeństwa, poinformowała, że jej zespół badaczy odkrył tzw. „HomeHack” – lukę, która naraża miliony użytkowników inteligentnych urządzeń domowych LG SmartThinQ na ryzyko nieautoryzowanego zdalnego sterowania.

W ramach współpracy, Check Point pomógł koreańskiej firmie załatać poważną podatność w urządzeniach SmartThinQ.

Podatności w aplikacji mobilnej LG SmartThinkQ oraz aplikacji chmurowej umożliwiły zespołowi badawczemu Check Point na zdalne zalogowanie się do aplikacji SmartThinQ w chmurze, przejęcie właściwego konta użytkownika LG, a następnie pełną kontrolę nad odkurzaczem i zintegrowaną kamerą wideo. Po przejściu kontroli nad kontem konkretnego użytkownika, wszelkie urządzenia LG lub inne związane z tym kontem mogą być kontrolowane przez atakującego – w tym inteligentne odkurzacze, lodówki, piekarniki, zmywarki, zmywarki, pralki i suszarki czy klimatyzatory.

Podatność HomeHack dała atakującym możliwość szpiegowania czynności domowych użytkowników za pośrednictwem kamery wideo w robo-odkurzaczu Hom-Bot, która wysyła obraz na żywo do powiązanej aplikacji LG SmartThinQ w ramach funkcji HomeGuard Security.  W zależności od zestawu urządzeń w domu właściciela, napastnicy mogą również włączać i wyłączać zmywarki do naczyń lub pralki.

– W miarę jak coraz więcej inteligentnych urządzeń jest używanych w domu, hakerzy przesuwają punkt ciężkości ataków z celowania na poszczególne urządzenia, na hakowanie aplikacji sterujących sieciami urządzeń. Daje to cyberprzestępcom jeszcze większe możliwości wykorzystywania wad oprogramowania, powoduje zakłócenia w domach użytkowników oraz umożliwia dostęp do ich poufnych danych – twierdzi Oded Vanunu, kierownik działu badań podatności produktów na zagrożenia w firmie Check Point. – Użytkownicy muszą być świadomi zagrożeń dla bezpieczeństwa i prywatności podczas korzystania z urządzeń IoT; koniecznym jest również aby producenci skupili się na ochronie inteligentnych urządzeń przed atakami, wdrażając niezawodne rozwiązania bezpieczeństwa podczas projektowania oprogramowania i urządzeń.

Słabe punkty w aplikacji mobilnej SmartThinQ umożliwiły badaczom Check Point stworzenie fałszywego konta LG, a następnie wykorzystanie go do przejęcia właściwego konta użytkownika, co z kolei umożliwiło zdalne sterowanie inteligentnymi urządzeniami użytkownika.  Check Point ujawnił podatność systemu LG na zagrożenia 31 lipca 2017 r., zgodnie z wytycznymi dotyczącymi odpowiedzialnego ujawniania informacji. LG odpowiedziało, rozwiązując zgłoszone problemy w aplikacji SmartThinQ pod koniec września.  – Co ważne, LG odpowiedzialnie zapewniło wysoką jakość, aby powstrzymać ewentualne wykorzystywanie problemów w swoich aplikacjach i urządzeniach SmartThinQ – dodał Oded Vanunu.

– W ramach misji firmy LG Electronics, mającej na celu poprawę jakości życia konsumentów na całym świecie, rozbudowujemy naszą ofertę inteligentnych urządzeń do użytku domowego nowej generacji, nadając jednocześnie priorytet opracowaniu bezpiecznego i niezawodnego oprogramowania – twierdzi Koonseok Lee Manager z zespołu Smart Development Team, Smart Solution BD, LG Electronics.

– W sierpniu LG Electronics rozpoczęło współpracę z Check Point Software Technologies w celu przeprowadzenia zaawansowanego procesu rootowania, który miał na celu wykrycie problemów bezpieczeństwa i natychmiast rozpoczęła aktualizację programów. Od 29 września system bezpieczeństwa działa sprawnie i bezproblemowo w aktualnej wersji 1.9.20.  LG Electronics planuje kontynuować wzmacnianie swoich systemów zabezpieczeń oraz współpracować z dostawcami rozwiązań cyberbezpieczeństwa, takimi jak Check Point, aby zapewnić bezpieczniejsze i wygodniejsze rozwiązania.

W celu zapewnienia ochrony swoim urządzeniom, użytkownicy aplikacji mobilnych LG SmartThinQ i urządzeń mobilnych powinni zapewnić ich aktualizację do najnowszych wersji oprogramowania z witryny LG.  Check Point zaleca również aktualizację urządzeń fizycznych LG smart home do najnowszych wersji.