lans.by

Уязвимость в SmartThinQ позволяет превратить робопылесосы LG в шпионов

Уязвимость в мобильном приложении LG SmartThinQ позволяет перехватить контроль над подключенными к интернету холодильниками, посудомоечными машинами, сушилками и оснащенными камерами роботизированными пылесосами производства LG Electronics, обнаружили эксперты компании Check Point.

Приложение SmartThinQ предоставляет пользователям возможность удаленно управлять различными функциями «умных» устройств. Проблема, по словам исследователей, заключается в механизме аутентификации между SmartThinQ и сервером LG.

Эксперты окрестили данную уязвимость HomeHack. Для успешной атаки злоумышленникам необходимо модифицировать приложение SmartThinQ на собственном устройстве для отключения проверок безопасности, а затем авторизоваться под логином (адрес электронной почты) жертвы. При этом участие пользователя не требуется.

Специалисты продемонстрировали атаку на примере робота-пылесоса LG Hom-Bot, который помимо прямого назначения, может выполнять и функцию «охранника», превратив его в устройство-шпион.

Гаджет оснащен видеокамерой и датчиками движения. По некоторым данным, к настоящему времени LG продала более 1 млн пылесосов Hom-Bot, однако не все модели оснащены функцией Home-Guard, предоставляющей пользователям возможность контролировать безопасность своего дома.

Исследователи Check Point проинформировали производителя об уязвимости в июле нынешнего года. Компания исправила проблему в конце сентября с выпуском версии SmartThinQ 1.9.20.

Источник

Leave a Reply

Your email address will not be published. Required fields are marked *