Проблема заключается в механизме аутентификации между SmartThinQ и сервером LG.
Уязвимость в мобильном приложении LG SmartThinQ позволяет перехватить контроль над подключенными к интернету холодильниками, посудомоечными машинами, сушилками и оснащенными камерами роботизированными пылесосами производства LG Electronics, обнаружили эксперты компании Check Point.
Приложение SmartThinQ предоставляет пользователям возможность удаленно управлять различными функциями «умных» устройств. Проблема, по словам исследователей, заключается в механизме аутентификации между SmartThinQ и сервером LG. Эксперты окрестили данную уязвимость HomeHack.
Для успешной атаки злоумышленникам необходимо модифицировать приложение SmartThinQ на собственном устройстве для отключения проверок безопасности, а затем авторизоваться под логином (адрес электронной почты) жертвы. При этом участие пользователя не требуется.
Специалисты продемонстрировали атаку на примере робота-пылесоса LG Hom-Bot, который помимо прямого назначения, может выполнять и функцию «охранника», превратив его в устройство-шпион. Гаджет оснащен видеокамерой и датчиками движения. По некоторым данным, к настоящему времени LG продала более 1 млн пылесосов Hom-Bot, однако не все модели оснащены функцией Home-Guard, предоставляющей пользователям возможность контролировать безопасность своего дома.
Исследователи Check Point проинформировали производителя об уязвимости в июле нынешнего года. Компания исправила проблему в конце сентября с выпуском версии SmartThinQ 1.9.20.
Наш канал — питательная среда для вашего интеллекта