Обнаружен баг, превращающий устройства LG в шпионские гаджеты

Специалисты компании Check Point рассказали об обнаружении проблемы HomeHack, которая позволяет скомпрометировать инфраструктуру «умных» домов, где используются решения LG.

Уязвимость была найдена в составе приложения LG SmartThinQ, при помощи которого пользователи могут управлять различными устройствами LG, включая плиты, кондиционеры, посудомоечные и стиральные машины, пылесосы и так далее.

Исследователи объясняют, что атакующий может скомпрометировать процесс аутентификации между SmartThinQ и бэкэндом LG. В результате злоумышленник перехватит управление  аккаунтом пользователя и сможет контролировать все IoT-девайсы, привязанные к данному профилю. Затем можно будет осуществлять атаки в стиле «Мистера Робота», к примеру, спровоцировать перегрев духовки, изменить температуру в помещении или попросту следить за жертвой, через камеры, встроенные в «умные» устройства.

Эксперты продемонстрировали эксплуатацию уязвимости на примере пылесоса LG Hom-Bot, который как раз оснащен бортовой камерой. Видеодемонстрацию можно увидеть ниже.

В настоящее время для HomeHack уже были выпущены патч. Инженеры LG обновили как приложение SmartThinQ (версия 1.9.20, вышла 29 сентября 2017 года), так и прошивки уязвимых перед атаками IoT-устройств.

Исследователи отмечают, что только в первой половине 2016 года было продано свыше 400 000 роботов-пылесосов LG Hom-Bot, то есть суммарно речь идет о миллионах уязвимых девайсов.

Увы, далеко не все пользователи устанавливают обновления вовремя, но эксперты Check Point успокаивают, что эксплуатация проблемы HomeHack довольно сложна. Так, для успешного осуществления атаки злоумышленнику, прежде всего, понадобится перекомпилировать приложение LG на клиентской стороне, и только после этого появится возможность перехватить трафик, циркулирующий между серверами компании и пользователем. Затем атакующему нужно создать фальшивый аккаунт LG, который потребуется для инициации процесса логина. И во время входа в систему, злоумышленник должен будет ввести email жертвы, вместо своего собственного.

Фото: Check Point

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

    • А ты как хотел))) обновляй, обновляй, а то взломают 😂