Умный дом от LG SmartThinQ взломали

Компания Check Point сообщила, что ее команда обнаружили так называемые «HomeHack» — уязвимость, которая ставит под угрозу миллионы пользователей умных бытовых приборов LG SmartThinQ на риск несанкционированного дистанционного управления.


В рамках сотрудничества, Check Point помог корейской компании залатать серьезную уязвимость в устройствах SmartThinQ.

Уязвимость в мобильном приложении LG SmartThinkQ и приложениях облачной системы позволили команде исследователей Check Point удаленно войти в приложение SmartThinQ в облаке, получить соответствующую учетную запись пользователя LG, а затем получить полный контроль над пылесосом и встроенной видеокамерой. После перехода контроля над учетной записью конкретного пользователя, любые устройства, LG или другие, связанные с этой учетной записью, могут быть под контролем хакера, в том числе интеллектуальные пылесосы, холодильники, духовые шкафы, посудомоечные машины, стиральные машины и сушилки или кондиционеры.

Восприимчивость HomeHack дала злоумышленникам возможность шпионить за действиями домашних пользователей с помощью видео камеры в робот-пылесосе Hom-Bot, которая посылает изображение на обои для связанного приложения LG SmartThinQ в рамках функции reg fixer pro Security. В зависимости от набора устройств в доме владельца, злоумышленники могут также включать и выключать посудомоечные машины или стиральные машины.

"По мере того, как все больше и больше "умных" устройств, используются в доме, хакеры начинают все более интересоваться этим сегментом. Это дает злоумышленникам еще больше возможностей использования дефектов программного обеспечения, вызывает помехи в домах пользователей и обеспечивает доступ к их конфиденциальным данным", - говорит Oded Vanunu с Check Point.

"Пользователи должны быть осведомлены о рисках для безопасности и конфиденциальности при использовании устройств IoT; необходимо также, чтобы производители были сосредоточены на защите смарт-устройств от атак, внедряя надежные решения по безопасности при разработке программного обеспечения и устройств", - добавляет он.

Слабые места в мобильное приложение SmartThinQ позволили исследователям Check Point создание поддельной учетной записи LG, а затем использовать ее для получения контроля над правильной учетной записи пользователя, что, в свою очередь, позволило дистанционное управление интеллектуальными устройствами пользователя. Check Point показал восприимчивость системы LG на угрозы, 31 июля 2017 г., в соответствии с принципами ответственного раскрытия информации. LG ответили, решая указанные проблемы в приложение SmartThinQ в конце сентября.

В целях обеспечения защиты ваших устройств, пользователи мобильных приложений LG SmartThinQ и мобильных устройств, должны обеспечить их обновление до последней версии прошивки с сайта LG. Check Point рекомендует также обновление физических устройств LG smart home до последней версии.

LG G6 Plus показали в официальном промо ролике

Официальный промо ролик от производителя показывает главные особенности флагмана LG G6 Plus.