Risolta a fine settembre da LG ma scoperta a fine luglio, oggi potrebbe non rappresentare un problema, ma è meglio aggiornare le applicazioni LG SmartThinQ all’ultima versione (V1.9.23)
La scoperta si chiama HomeHack, una vulnerabilità che ha già portato milioni di utenti dei dispositivi smart home LG a essere esposti a rischio di controllo remoto non autorizzato degli elettrodomestici, da parte di criminali informatici. La vulnerabilità se fruttata avrebbe potuto permettere l’accesso in modalità remota all’applicazione cloud di SmartThinQ, entrare in maniera legittima nel profilo account LG dell’utente e ottenere il controllo di tutti i dispositivi associati a questo account, come ad esempio accendere o spegnere lavastoviglie o lavatrici frigoriferi, forni, asciugatrici e condizionatori d’aria. Il test realizzato sul robot aspirapolvere Home Bot ha dimostrato la possibilità di spiare le attività casalinghe degli utenti tramite la videocamera presente nel robot, che invia video live all’applicazione LG SmartThinQ. Nel video pubblicato su youtube sono mostrate le modalità di svolgimento del possibile attacco.
L’interesse degli hacker per le applicazioni di controllo dei dispositivi
Oded Vanunu, head of products vulnerability research di Check Point spiega come in casa possano essere presenti dispositivi connessi al web, e come l’aumento progressivo di queste dotazioni casalinghe causi un passaggio di interesse degli hacker dai singoli dispositivi, alle applicazioni che controllano reti di dispositivi. L’aumento della superficie di attacco consente ai criminali informatici di avere maggiori opportunità per sfruttare le falle dei software, causare danni nelle case degli utenti e accedere ai loro dati sensibili; quindi gli utenti devono essere consapevoli dei rischi legati alla sicurezza e alla privacy quando utilizzano dispositivi IoT ed è fondamentale che i produttori di device connessi alla rete investano sulla difesa di questi dispositivi dagli attacchi, inserendo un solido sistema di sicurezza durante la progettazione di software e dispositivi.
Check Point ha comunicato la vulnerabilità a LG Electronics lo scorso 31 luglio 2017 e l’azienda di elettrodomestici ha fissato il problema a fine settembre, bloccando il possibile sfruttamento delle falle contenute nei dispositivi e nell’app SmartThinQ. La superficie d’attacco era abbastanza elevata a causa delle 400.000 unità nella prima metà del 2016, degli 80 milioni di dispositivi smart home venduti in tutto il mondo, unitamente alla diffusione della piattaforma LG SmartThinQ® .
Remediation
Per proteggere i propri dispositivi, i possessori dei prodotti e gli utenti della linea LG SmartThinQ devono aggiornare i propri sistemi all’ultima versione disponibile, la V1.9.23 dal sito di LG, tramite Google Play o l’App Store di Apple oppure dalla stessa app . I ricercatori consigliano anche di aggiornare i dispositivi Smart Home alla versione più recente, selezionando il prodotto all’interno della dashboard presente nell’applicazione SmartThinQ (se è disponibile un aggiornamento si riceve un popup).
Per il futuro
Koonseok Lee Manager di Smart Development Team, Soluzione intelligente BD, LG Electronics ha dichiarato che “In agosto, la nostra azienda ha collaborato con Check Point Software Technologies per eseguire un processo avanzato di “rooting” in grado di rilevare i problemi di sicurezza e iniziare immediatamente ad aggiornare le patch di sicurezza. Il nuovo sistema di sicurezza, in vigore dallo scorso 29 settembre, ha eseguito la versione aggiornata 1.9.20 senza problemi.
Questa collaborazione fra l’azienda e i fornitori di soluzioni di sicurezza informatica c continuerà anche in futuro per garantire apparecchi più sicuri e più conformi.
