Уязвимость в SmartThinQ позволяет превратить робопылесосы LG в шпионов

Уязвимость в SmartThinQ позволяет превратить робопылесосы LG в шпионов

Проблема заключается в механизме аутентификации между SmartThinQ и сервером LG.

Уязвимость в мобильном приложении LG SmartThinQ позволяет перехватить контроль над подключенными к интернету холодильниками, посудомоечными машинами, сушилками и оснащенными камерами роботизированными пылесосами производства LG Electronics, обнаружили эксперты компании Check Point.

Приложение SmartThinQ предоставляет пользователям возможность удаленно управлять различными функциями «умных» устройств. Проблема, по словам исследователей, заключается в механизме аутентификации между SmartThinQ и сервером LG. Эксперты окрестили данную уязвимость HomeHack.

Для успешной атаки злоумышленникам необходимо модифицировать приложение SmartThinQ на собственном устройстве для отключения проверок безопасности, а затем авторизоваться под логином (адрес электронной почты) жертвы. При этом участие пользователя не требуется.

Специалисты продемонстрировали атаку на примере робота-пылесоса LG Hom-Bot, который помимо прямого назначения, может выполнять и функцию «охранника», превратив его в устройство-шпион. Гаджет оснащен видеокамерой и датчиками движения. По некоторым данным, к настоящему времени LG продала более 1 млн пылесосов Hom-Bot, однако не все модели оснащены функцией Home-Guard, предоставляющей пользователям возможность контролировать безопасность своего дома.

Исследователи Check Point проинформировали производителя об уязвимости в июле нынешнего года. Компания исправила проблему в конце сентября с выпуском версии SmartThinQ 1.9.20.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!