image

LG-robotstofzuiger kon door lek op afstand worden overgenomen

donderdag 26 oktober 2017, 15:48 door Redactie, 14 reacties

Onderzoekers van securitybedrijf Check Point hebben een kwetsbaarheid gevonden in een IoT-oplossing van fabrikant LG waardoor het mogelijk was om de LG Hom Bot-robotstofzuiger op afstand te bedienen en bewoners via de ingebouwde videocamera van de stofzuiger te bespioneren.

De kwetsbaarheid was aanwezig in LG SmartThinQ, een IoT-oplossing waarmee het mogelijk is om huishoudelijke apparaten via de smartphone te beheren en te bedienen. De kwetsbaarheid in de mobiele- en cloud-applicatie van LG SmartThinQ maakte het mogelijk om een vals LG-account aan te maken en hiermee het legitieme LG-account van de gebruiker over te nemen om vervolgens op afstand toegang te krijgen tot de met internet verbonden LG-apparaten van de gebruiker.

Eenmaal in het bezit van het LG-account van een specifieke gebruiker, kon elk LG-apparaat of -applicatie die bij het account hoorde door de aanvaller worden bediend. Denk daarbij aan de robotstofzuiger, koelkasten, ovens, vaatwassers, wasmachines, -drogers en airconditioners. Ook was het mogelijk om gebruikers te bespioneren via de videocamera van de Hom Bot-robotstofzuiger. De robotstofzuiger, waarvan er vorig jaar meer dan 400.000 zijn verkocht, stuurt live video naar de bijbehorende SmartThinQ-app die onderdeel is van de HomeGuard-beveiligingsfunctie. Afhankelijk van de LG-apparaten in huis, was het tevens mogelijk de vaatwasser of wasmachine aan- en uit te zetten.

LG werd op 31 juli over de kwetsbaarheid ingelicht en heeft eind september een update uitgerold. Gebruikers krijgen het advies om te updaten naar versie 1.9.23 of nieuwer van de app, die is te downloaden via de Google Play Store, Apple's App Store of via de SmartThinQ app-instellingen.

Image

Video - LG HomeHack – Secure Your IoT. Bron: YouTube

Reacties (14)
26-10-2017, 16:14 door Anoniem
Ik heb voor de IoT-fabrikanten goed nieuws: ik koop geen IoT-producten meer waar die camera-spionnetjes zijn ingebouwd.
26-10-2017, 16:23 door Anoniem
Die camera is onderdeel van de "HomeGuard Security feature". Oeps.
26-10-2017, 16:30 door Anoniem
Als klant van LG heb je een SmartThinQ mobile app op je mobiel of tablet om van afstand je stofzuiger te bedienen. Die stofzuiger staat in verbinding met LG en je SmartThinQ mobile app staat in verbinding met LG. Niets gaat direct via je eigen LAN buiten LG om. Waarom moet je dan je SmartThinQ mobile app updaten om deze kwetsbaarheid te verhelpen? Er zit ogenschijnlijk geen logica in om de authenticatie afhankelijk te laten zijn van de gebruikte versie van de SmartThinQ mobile app.
26-10-2017, 17:04 door Anoniem
Door Anoniem: Niets gaat direct via je eigen LAN buiten LG om. Waarom moet je dan je SmartThinQ mobile app updaten om deze kwetsbaarheid te verhelpen? Er zit ogenschijnlijk geen logica in om de authenticatie afhankelijk te laten zijn van de gebruikte versie van de SmartThinQ mobile app.
Er zat een zwakte in het authenticatiemechanisme. Nadat de server een aanlog had gecontroleerd was het voor de aangepaste app mogelijk om met een andere usernaam verder te werken en daarmee een andere account te benaderen dan waarmee was aangelogd. En via die account kan de aanvaller bij de apparaten die aan die account gekoppeld zijn.

De zwakheid zat dus in het protocol waarmee de app en de server een sessie opzetten, Ze zullen dat protocol hebben moeten aanpassen om dat te repareren, en dan moeten de app en de server ook allebei aangepast worden. En dus moet de gebruiker een nieuwe versie van de app installeren om van de kwetsbaarheid af te zijn.
26-10-2017, 19:17 door [Account Verwijderd]
off-topic >
Niets gaat boven een Nilfisk GS- of zijn opvolger GM80. Bovendien is stofzuigen van je eigen huis gewoon leuk werk, net zo leuk als het feit dat die van mij (een GS) op de kop af al 37 jaar uitstekend functioneert. Slang, wieltjes, stofzuigermond, allemaal al meermaals vervangen, maar die machine zelf; onbegrijpelijk dat die fabrikant niet failliet gaat...
< end off-topic
26-10-2017, 19:20 door [Account Verwijderd]
Ik vond het al zo gek dat al mijn vrouw en ik SEX op de vloer van de woonkamer hadden die robot daarnaar stond te kijken.

Sorry ik heb 2 echte biertjes op en ik zou eigenlijk niet moeten reageren!
26-10-2017, 20:00 door Anoniem
Een stofzuiger di je via een app kunt bedienen, hoeveel nutteloze apparaten gaan er nog gemaakt worden in de toekomst?
26-10-2017, 20:52 door Anoniem
Door Anoniem: De zwakheid zat dus in het protocol waarmee de app en de server een sessie opzetten, Ze zullen dat protocol hebben moeten aanpassen om dat te repareren, en dan moeten de app en de server ook allebei aangepast worden. En dus moet de gebruiker een nieuwe versie van de app installeren om van de kwetsbaarheid af te zijn.
Maar als je de oude app gebruikt kan je dus nog gewoon inloggen bij LG.
LG heeft het de kwetsbaarheid dus niet verholpen, Ze hebben alleen een tweede aanpassing in gebruik genomen waarbij alleen klanten die zelf updaten bescherming genieten en de rest via LG kwetsbaar blijft en zowel een crimineel als de klant hun LG stofzuiger kan gebruiken.
27-10-2017, 06:18 door Anoniem
Door Anoniem: Een stofzuiger di je via een app kunt bedienen, hoeveel nutteloze apparaten gaan er nog gemaakt worden in de toekomst?
Heel heel veel.
27-10-2017, 08:57 door Anoniem
Cool. Stofzuigen ze dan ook meteen m'n kamer voor me dan?
<einde>
27-10-2017, 09:05 door Anoniem
Door Anoniem: Maar als je de oude app gebruikt kan je dus nog gewoon inloggen bij LG.
LG heeft het de kwetsbaarheid dus niet verholpen, Ze hebben alleen een tweede aanpassing in gebruik genomen waarbij alleen klanten die zelf updaten bescherming genieten en de rest via LG kwetsbaar blijft en zowel een crimineel als de klant hun LG stofzuiger kan gebruiken.
Of inloggen lukt niet meer en je krijgt een waarschuwing. Of het lukt tijdelijk nog en je krijgt een waarschuwing. Geen idee, daar kunnen ze op meerdere manieren mee omgaan.

Ik krijg een beetje de indruk dat je het na een fout zo erg mogelijk wilt maken. Leuk om het voor jezelf sensationeel te maken en je lekker op te winden, maar het hoeft niet te kloppen. LG heeft geblunderd met dat protocol maar dat betekent niet automatisch dat ze blijven blunderen en helemaal geen verantwoordelijkheidsgevoel hebben. Ook als ze er nu goed mee omgaan is het erg genoeg dat het gebeurd is, je hoeft het niet erger te maken dan het is om het erg te vinden. Hopelijk leren ze ervan bij LG.
27-10-2017, 09:34 door Anoniem
Door amphihans: Ik vond het al zo gek dat al mijn vrouw en ik SEX op de vloer van de woonkamer hadden die robot daarnaar stond te kijken.

Sorry ik heb 2 echte biertjes op en ik zou eigenlijk niet moeten reageren!

2 maar? Klinkt als een stuk of 6 met deze post XD.

Die robot stofzuiger kan het wel weer opruimen XD
27-10-2017, 11:06 door Anoniem
Toch maar niet naar de winkel voor een robotstofzuiger dus. Al leek het mij wel makkelijk want hoe bevredigend zelf stofzuigen ook kan zijn, de frequentie waarmee het nodig is ligt hier thuis een stuk hoger dan dat ik aandrang voel.
Gevolg is dat we een soort strandvloertje hebben (overal ligt zand) en we onze schoenen binnen maar aanhouden.

Het nut van een robotstofzuigertje zie ik dus wel, maar het nut van de bediening over het internet per smartphone zie ik dan weer niet zo. En die camera ook niet (als het plaatje klopt dan filmt de stofzuiger op hoogtes waar hij nooit gaat komen, waarom is hij niet alleen op de vloer gericht?).
Of is het handig dat ik er gelijk de kat mee kan bespioneren? Mijn gezinsleden in de gaten houden? De tv aan kan zetten op afstand en dan via de camera van de stofzuiger op het werk mijn favoriete series kijken? Vragen, vragen...
29-10-2017, 10:33 door Remmilou
Door Anoniem: Een stofzuiger di je via een app kunt bedienen, hoeveel nutteloze apparaten gaan er nog gemaakt worden in de toekomst?
Waarschijnlijk best wel nuttig allemaal. Maar de vraag is voor wie het nuttug is... Niet voor de de consument in elk geval.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.