Sikkerhedshul lod hackere spionere gennem støvsugerrobot

Sårbarhed i LG's IoT-produkter gjorde det muligt at styre udstyr i hjemmet og på kontoret. Det var bl.a. muligt at se ud af robotstøvsugerens kamera.

Det har indtil for nyligt været muligt for kriminelle at få adgang til IoT-apparater via et sikkerhedshul i LG's produktserie SmartThinQ.

Fejlen blev opdaget d. 31. juli af it-sikkerhedsfirmaet Check Point, der har givet den navnet HomeHack - og sammen med LG har de fået lukket sårbarheden med en opdatering i september. HomeHack gjorde det muligt at få kontrol over en lang række produkter som køleskabe, ovne, opvaskemaskiner, vaskemaskiner, tørretumblere, klimaanlæg og måske værst af alt: robotstøvsugeren, der kører rundt med et indbygget kamera. Kameraet sender et livefeed til LG's SmartThinQ-app, hvortil uønskede kunne få adgang.

»Brugere bør være opmærksomme på de risici i forhold sikkerhed og privatliv, der følger med, når de bruger internetopkoblede enheder til hjemmet. Samtidig er det afgørende, at producenterne sørger for at sikre deres smarte enheder mod angreb ved at indbygge sikkerhed fra starten i selve designet af enhederne og deres software.« siger Oded Vanunu, chef for forskning i produktsårbarheder hos Check Point, i en pressemeddelelse.

Sådan udnytter man HomeHack

Med HomeHack kunne hackere få adgang til andres SmartThinQ-app ved at oprette en falsk LG-konto og derfra overtage brugerens rigtige konto. Så snart den cyberkriminelle er inde, kan han få kontrol over alle apparaterne, der er koblet op til internettet.

»I takt med at flere og flere smarte enheder bliver taget i brug i private hjem, vil hackere i stigende grad skifte deres fokus fra at angribe det enkelte produkt til at gå efter at få kontrol over de apps, der styrer hele netværket af smartenheder. Det giver kriminelle hackere endnu flere muligheder for at udnytte sikkerhedshuller, skabe forstyrrelser i brugernes hjem og få adgang til følsomme data. Heldigvis handlede LG ansvarligt og udviklede hurtigt en løsning til at stoppe den mulige udnyttelse af deres SmartThinQ-app og -enheder,« siger Oded Vanunu i pressemeddelelsen.

For at undgå at blive ramt af et angreb skal LG SmartThinQ-brugere ikke blot sørge for at opdatere deres app til nyeste version (V1.9.23), men også opdatere de fysiske enheder.

Hvor stort problemet er i Danmark vides ikke, men på globalt plan er der solgt over en million LG Hom-Bot-støvsugere, så der er masser af apparater rundt omkring, der måske trænger til en opdatering.

Se i videoen, hvordan man kan udspionere via robotstøvsugeren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
John Jensen

Det er ikke bare dig.
Men men, alligevel er det en praktisk ting, der så desværre kan misbruges.
Overvågning, jeps, den personlige overvågning, hvor man kan holde øje med hjemmet lige som med de stationære overvågningskameraer, holde et øje på kæledyrene, hvordan har de det, opfører de sig osv.
De positive sider er mangfoldige, men så er der de negative sider som du selv er inde på.
Overvågning (ikke den personlige) men virksomheder og kriminelle.
Der er der en ekstrem grim risiko for at fordele kan forvandles til ulemper.
For har andre adgang til enheden, så har de også de samme muligheder som ejeren, og så er det pludselig et godt redskab til at analyserer et eventuelt mål for det næste indbrud, eller som en af robotproducenterne havde planer om, jeg mener det var "rumba" der legede med planerne om at sælge brugernes indsamlede data, noget med "oversigtskortet" eller noget i den stil.
Det blev så forpurret, ikke kun af forskellige myndigheder, men ikke mindst pres fra eventuelle forbrugergrupper.
Men om de så alligevel siger et men gør noget andet, det ved man så reelt ikke en disse om.
Så min gamle (30+år) Philips kan jeg stadig købe poser til og da det for mig er en hyggelig adspredelse at støvsuge og vaske op, tja, så har teknoligi nørden over dem alle gennem hele sit lange liv, fravalgt lige opvaskeren og støvsugeren fra, og en eventuel talende brødrister med kamera vil også blive fravalgt.
Hvorfor toasteren, se dette klip fra en af mne absolutte favoritserier.
"Does Anyone Want Any Toast? - Red Dwarf - BBC"

https://www.youtube.com/watch?v=LRq_SAuQDec

Henning Wangerin

Nogle, herunder LG, bruger kamera til navigation - så støvsugeren ikke kører rundt i blinde. Andre bruger LIDAR, nogle kører stadig i blinde. 😊

Så længe bearbejdningen foregår onboard af enheden et er såmen fint med mig. Men så snart enheden kræver en netforbindelse er kæden hoppet af for mig.

Hvis jeg havde mulighed for at hente software og lægge på min egen server, som enheden så skulle snakke med kunne jeg også gå med til. Så kan jeg trods alt isolere server og enhed på deres eget net.

Men med fri adgang til det store stygge internet? Nope det bliver uden mig.

/Henning

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017