Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Check Point, en af verdens største it-sikkerhedsvirksomheder, afslører i dag, at de har opdaget et alvorligt sikkerhedshul i LGs produktserie SmartThinQ® bestående af intelligente husholdningsapparater. Sårbarheden, som har fået navnet HomeHack, betyder, at millioner af brugere risikerer at hackere overtager kontrollen med deres enheder over internettet, hvorfra de kan fjernstyres.
Sikkerhedshullet findes i mobilappen til LG SmartThinkQ produkterne, der gav Check Points eksperter mulighed for at logge ind på SmartThinQ appen, hvor de kunne overtage brugeren LG-konto og dermed fx fjernstyre hjemmets robotstøvsuger, som indeholder et integreret kamera. Når først en hacker har fået kontrol over brugerens LG-konto, er det muligt at få adgang til at kontrollere alle andre enheder, der er tilknyttet brugerens konto, som udover robotstøvsugere også kan inkludere køleskabe, ovne, opvaskemaskiner, vaskemaskiner, tørretumblere og klimaanlæg.
HomeHack-sårbarheden giver dermed potentielt hackere mulighed for at udspionere ejerne i deres private hjem via robotstøvsugerens videokamera, som sender livevideo til LG SmartThinQ appen, som en del af dens sikkerhedsfunktioner (se video). Afhængig af hvilke enheder med LG SmartThinQ ejeren har i sit hjem, kan hackere også potentielt tænde og slukke for ovne, opvaskemaskiner og vaskemaskiner.
”Brugere bør være opmærksomme på de risici i forhold sikkerhed og privatliv, der følger med, når de bruger internetopkoblede enheder til hjemmet. Samtidig er det afgørende, at producenterne sørger for at sikre deres smarte enheder mod angreb ved at indbygge sikkerhed fra starten i selve designet af enhederne og deres software." siger Oded Vanunu, chef for forskning i produktsårbarheder hos Check Point.
Sådan fungerer HomeHack
Sårbarhederne i SmartThinQ mobilappen gav Check Points eksperter mulighed for at oprette falske LG-kontoer, og derefter bruge dem til at overtage en brugers rigtige LG-konto. Derfra kunne de fjernstyre brugerens internetopkoblede smartenheder til hjemmet fra LG. Check Point afslørede sårbarheden hos LG den 31. juli 2017 efter de gængse retningslinjer for offentliggørelse af opdagelser af denne type. LG udbedrede efterfølgende sikkerhedsproblemerne i SmartThinQ i slutningen af september.
"I takt med at flere og flere smarte enheder bliver taget i brug i private hjem, vil hackere i stigende grad skifte deres fokus fra at angribe det enkelte produkt til at gå efter at få kontrol over de apps, der styrer hele netværket af smartenheder. Det giver kriminelle hackere endnu flere muligheder for at udnytte sikkerhedshuller, skabe forstyrrelser i brugernes hjem og få adgang til følsomme data. Heldigvis handlede LG ansvarligt og udviklede hurtigt en løsning til at stoppe den mulige udnyttelse af deres SmartThinQ-app og -enheder," siger Oded Vanunu.
"Som en del af LG Electronics mission om at forbedre forbrugernes hverdag verden over hele udvider vi vores næste generation af smartenheder til hjemmet samtidig med, at vi prioriterer udviklingen af sikre og pålidelige softwareprogrammer", siger Koonseok Lee, Manager of Smart Development Team, Smart Solution BD, LG Electronics s. "I august indgik LG Electronics et samarbejde med Check Point Software Technologies om at foretage en avanceret undersøgelse designet til at registrere sikkerhedsproblemer og begyndte straks herefter at foretage programrettelser. Med virkning fra den 29. september har sikkerhedssystemet kørt den opdaterede version 1.9.20 uden problemer. LG Electronics planlægger at fortsætte med at styrke deres sikkerhedssystemer af software og samarbejde med udbydere af løsninger inden for cybersikkerhed som Check Point for at levere mere sikre husholdningsapparater. "
For at beskytte deres enheder skal brugere af LG SmartThinQ mobilapp og tilhørende enheder sikre sig, at deres husholdningsapparater bliver opdateret til de nyeste softwareversioner fra LGs hjemmeside. Check Point anbefaler også forbrugerne at tage følgende skridt for at sikre deres internetopkoblede enheder og netværk i hjemmet mod fjernstyring fra fremmede:
- Opdater LG SmartThinQ appen til den nyeste version (V1.9.23). Du kan opdatere appen via Google Play Butik, Apples App Store eller via LG SmartThinQs app-indstillinger.
- Opdater dine fysiske Smart Home-enheder med den nyeste version. Dette kan du gøre ved at klikke på Smart Home-produktet under SmartThinQ Application Dashboard (hvis en opdatering er tilgængelig, får du en advarsel).
Om LG SmartThinQ og internetopkoblede husholdningsapparater
LGs SmartThinQ udvalg af intelligente husholdningsapparater og sikkerhedsløsninger giver brugerne mulighed for at overvåge og vedligeholde deres hjem fra en smartphone. LGs robotstøvsuger Hom-Bot og en række andre produkter med SmartthinQ kan også købes hos forhandlere i Danmark. Lokale salgstal er ikke tilgængelige, men globalt oversteg salget af LG Hom-Bot robuststøvsugeren 400.000 solgte enheder i første halvdel af 2016. På verdensplan blev der i 2016 solgt 80 millioner intelligente husholdningsapparater, hvilket er en stigning på 64% fra 2015.
Se video her af hvordan hackere kunne spionere gennem robotstøvsugeren.
Besøg Check Points blog for at læse mere om sårbarheden.
Hos Roboteksperten kan du se liste over robotstøvsugere med indbygget kamera og få råd til, hvordan du sikrer dine produkter bedst muligt: www.roboteksperten.dk/blog/robotstoevsuger-med-kamera-hackersikret
