Уязвимость в SmartThinQ позволяет превратить робопылесосы LG в шпионов

Проблема заключается в механизме аутентификации между SmartThinQ и сервером LG.

Уязвимость в мобильном приложении LG SmartThinQпозволяет перехватить контроль над подключенными к интернету холодильниками, посудомоечными машинами, сушилками и оснащенными камерами роботизированными пылесосами производства LGElectronics, обнаружили эксперты компании Check Point.

Приложение SmartThinQ предоставляет пользователям возможность удаленно управлять различными функциями «умных» устройств. Проблема, по словам исследователей, заключается в механизме аутентификации между SmartThinQ и сервером LG. Эксперты окрестили данную уязвимость HomeHack.

Для успешной атаки злоумышленникам необходимо модифицировать приложение SmartThinQ на собственном устройстве для отключения проверок безопасности, а затем авторизоваться под логином (адрес электронной почты) жертвы. При этом участие пользователя не требуется.

Специалисты продемонстрировали атаку на примере робота-пылесоса LG Hom-Bot, который помимо прямого назначения, может выполнять и функцию «охранника», превратив его в устройство-шпион.Гаджет оснащен видеокамерой и датчиками движения. По некоторым данным, к настоящему времени LG продала более 1 млн пылесосов Hom-Bot, однако не все модели оснащены функцией Home-Guard, предоставляющей пользователям возможность контролировать безопасность своего дома.

Исследователи Check Point проинформировали производителя об уязвимости в июле нынешнего года. Компания исправила проблему в конце сентября с выпуском версии SmartThinQ 1.9.20.

Уязвимость в SmartThinQ позволяет превратить робопылесосы LG в шпионов
Подписывайтесь на канал “SecurityLab” в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.