Onderzoekers van securitybedrijf Check Point hebben een kwetsbaarheid gevonden in een IoT-oplossing van fabrikant LG waardoor het mogelijk was om de LG Hom Bot-robotstofzuiger op afstand te bedienen en bewoners via de ingebouwde videocamera van de stofzuiger te bespioneren.
De kwetsbaarheid was aanwezig in LG SmartThinQ, een IoT-oplossing waarmee het mogelijk is om huishoudelijke apparaten via de smartphone te beheren en te bedienen. De kwetsbaarheid in de mobiele- en cloud-applicatie van LG SmartThinQ maakte het mogelijk om een vals LG-account aan te maken en hiermee het legitieme LG-account van de gebruiker over te nemen om vervolgens op afstand toegang te krijgen tot de met internet verbonden LG-apparaten van de gebruiker.
Eenmaal in het bezit van het LG-account van een specifieke gebruiker, kon elk LG-apparaat of -applicatie die bij het account hoorde door de aanvaller worden bediend. Denk daarbij aan de robotstofzuiger, koelkasten, ovens, vaatwassers, wasmachines, -drogers en airconditioners. Ook was het mogelijk om gebruikers te bespioneren via de videocamera van de Hom Bot-robotstofzuiger. De robotstofzuiger, waarvan er vorig jaar meer dan 400.000 zijn verkocht, stuurt live video naar de bijbehorende SmartThinQ-app die onderdeel is van de HomeGuard-beveiligingsfunctie. Afhankelijk van de LG-apparaten in huis, was het tevens mogelijk de vaatwasser of wasmachine aan- en uit te zetten.
LG werd op 31 juli over de kwetsbaarheid ingelicht en heeft eind september een update uitgerold. Gebruikers krijgen het advies om te updaten naar versie 1.9.23 of nieuwer van de app, die is te downloaden via de Google Play Store, Apple's App Store of via de SmartThinQ app-instellingen.
Video - LG HomeHack – Secure Your IoT. Bron: YouTube
Deze posting is gelocked. Reageren is niet meer mogelijk.