Check Pointin tietoturvatutkijat ovat löytäneet korealaisen LG:n SmartThinQ-kodinkoneista haavoittuvuuden, joka altisti miljoonat kuluttajat älykkäiden kodinkoneiden luvattomalle etäkäytölle. Tutkijat antoivat tietoturva-aukolle nimen HomeHack.
Haavoittuvuudet LG SmartThinQ -älypuhelinsovelluksessa ja pilvipalveluksessa mahdollistivat, että Check Pointin tutkijatiimi pystyi kirjautumaan etänä sisään LG SmartThinQ-pilvipalveluun, ottamaan haltuunsa käyttäjän LG-tilin ja ohjaamaan sitä kautta robotti-imuria ja sen videokameraa. Kun käyttäjän LG-tili oli ulkopuolisen hallussa, hän pystyi hallitsemaan kaikkia tiliin liitettyjä kodinkoneita: pölynimuria, jääkaappeja, uuneja, astianpesukoneita, pyykinpesukoneita, kuivausrumpuja sekä ilmalämpöpumppuja.
Hyökkääjä pystyi HomeHack-haavoittuvuuden avulla halutessaan vakoilemaan uhrin kotia Hom-Bot-robotti-imurin videokameralla. Se lähettää reaaliaikaista videota käyttäjän kodista osana Home Guard Security -ominaisuutta, jonka tarkoitus on lisätä kodin turvallisuutta. Riippuen siitä, mitä LG:n kodinkoneita kodissa on, hyökkääjät olisivat voineet myös sammuttaa kylmälaitteet, kytkeä uunit ja keittotasot päälle lisäten tulipaloriskiä tai peukaloida lämpöpumpun asetuksia.
- Kun älykkäiden kodinkoneiden käyttö lisääntyy, hakkerit siirtävät huomionsa yksittäisistä laitteista sovelluksiin, joilla hallitaan niiden muodostamaa verkkoa. Tämä tarjoaa uusia mahdollisuuksia ohjelmistojen virheiden hyödyntämiseen, häiriön aiheuttamiseen ihmisten kodeissa ja heidän tietojensa anastamiseen, sanoi Check Pointin IoT-tutkijaryhmän vetäjä Oded Vanunu.
- Kuluttajien on hyvä tiedostaa IoT-laitteisiin liittyvät tietoturva- ja yksityisyysriskit. On myös olennaisen tärkeää, että valmistajat kiinnittävät huomiota älykkäiden kodinkoneiden suojaamiseen rakentamalla niihin lujat tietoturvaominaisuudet jo ohjelmistoja ja laitteita suunniteltaessa, Vanunu jatkoi.
Check Point kertoi havaintonsa LG:lle alan käytäntöjen mukaisesti 31. heinäkuuta 2017. LG korjasi esiin tulleet ongelmat SmartThinq-sovelluksen päivityksellä syyskuun lopussa.
LG SmartThinQ -älypuhelinsovelluksen ja kodinkoneiden käyttäjien tulisi nyt varmistaa, että heillä on käytössä uusimmat ohjelmistoversiot. Check Point suosittelee, että kuluttajat suojaavat älykkäät kodinkoneensa ja WiFi-verkkonsa tunkeutujilta ja laitteiden etähallinnan kaappaamiselta.