Tietoturvayhtiö Check Point auttoi korjaamaan merkittävän tietoturva-aukon LG:n SmartThinQ® -IoT-kodinkoneissa
San Carlos, CA — 26. lokakuuta 2017. Check Pointin tietoturvatutkijat ovat löytäneet LG SmartThinQ® -kodinkoneista haavoittuvuuden, joka altisti miljoonat kuluttajat älykkäiden kodinkoneiden luvattomalle etäkäytölle. Tutkijat antoivat tietoturva-aukolle nimen HomeHack.
Haavoittuvuudet LG SmartThinQ -älypuhelinsovelluksessa ja pilvipalveluksessa mahdollistivat, että Check Pointin tutkijatiimi pystyi kirjautumaan etänä sisään LG SmartThinQ-pilvipalveluun, ottamaan haltuunsa käyttäjän LG-tilin ja ohjaamaan sitä kautta robotti-imuria ja sen videokameraa. Kun käyttäjän LG-tili oli ulkopuolisen hallussa, hän pystyi hallitsemaan kaikkia tiliin liitettyjä kodinkoneita: pölynimuria, jääkaappeja, uuneja, astianpesukoneita, pyykinpesukoneita, kuivausrumpuja sekä ilmalämpöpumppuja.
Hyökkääjä pystyi HomeHack-haavoittuvuuden avulla halutessaan vakoilemaan uhrin kotia Hom-Bot-robotti-imurin videokameralla. Se lähettää reaaliaikaista videota käyttäjän kodista osana Home Guard Security -ominaisuutta, jonka tarkoitus on lisätä kodin turvallisuutta. Riippuen siitä, mitä LG:n kodinkoneita kodissa on, hyökkääjät olisivat voineet myös sammuttaa kylmälaitteet, kytkeä uunit ja keittotasot päälle lisäten tulipaloriskiä tai peukaloida lämpöpumpun asetuksia.
”Kun älykkäiden kodinkoneiden käyttö lisääntyy, hakkerit siirtävät huomionsa yksittäisistä laitteista sovelluksiin, joilla hallitaan niiden muodostamaa verkkoa. Tämä tarjoaa uusia mahdollisuuksia ohjelmistojen virheiden hyödyntämiseen, häiriön aiheuttamiseen ihmisten kodeissa ja heidän tietojensa anastamiseen”, sanoi Check Pointin IoT-tutkijaryhmän vetäjä Oded Vanunu.
”Kuluttajien on hyvä tiedostaa IoT-laitteisiin liittyvät tietoturva- ja yksityisyysriskit. On myös olennaisen tärkeää, että valmistajat kiinnittävät huomiota älykkäiden kodinkoneiden suojaamiseen rakentamalla niihin lujat tietoturvaominaisuudet jo ohjelmistoja ja laitteita suunniteltaessa”, Oded Vanunu jatkoi.
SmartThinQ-älypuhelinsovelluksen haavoittuvuutta hyväksikäyttäen Check Pointin tutkijat loivat väärennetyn LG-tilin ja ottivat sen avulla haltuun laitteen laillisen käyttäjän LG-tilin. Näin he pääsivät etähallitsemaan tiliin kytkettyjä kodinkoneita. Check Point kertoi havaintonsa LG:lle alan käytäntöjen mukaisesti 31. heinäkuuta 2017. LG korjasi esiin tulleet ongelmat SmartThinq-sovelluksen päivityksellä syyskuun lopussa.
”LG toimi vastuullisesti ja esti SmartThinq-sovelluksen ja kodinkoneiden ongelmallisten kohtien mahdollisen hyödyntämisen korkealaatuisella korjauksella”, Oded Vanunu sanoi.
"LG Electronics haluaa jatkuvasti parantaa kuluttajien elämää maailmanlaajuisesti. Osana tätä tavoitetta LG lanseeraa seuraavan sukupolven älykkäiden kodinkoneiden malliston. Samalla haluamme varmistaa, että laiteohjelmistomme ovat täysin luotettavia ja turvallisia. Elokuussa LG Electronics yhdisti voimansa Check Point Software Technologiesin kanssa perusteellisen roottauksen kautta tehtävien tietoturvatarkistusten suorittamiseksi. Alkaneen yhteistyön tavoitteena on havaita mahdolliset tietoturvaongelmat ja aloittaa niiden paikkaus välittömästi. 29. syyskuuta julkaistu LG SmartThinQ -puhelinsovelluksen versio 1.9.20 on toiminut sujuvasti ja ongelmitta. Aiomme jatkaa ohjelmistopalvelujärjestelmiemme vahvistamista sekä työskennellä tietoturvapalveluntarjoajien kuten Check Pointin kanssa, jotta voimme varmistaa, että laitteemme ovat jatkossakin turvallisia ja käteviä käyttää”, sanoo Koonseok Lee, Manager of Smart Development Team, Smart Solution BD, LG Electronics.
LG SmartThinQ -älypuhelinsovelluksen ja kodinkoneiden käyttäjien tulisi nyt varmistaa, että heillä on käytössä uusimmat ohjelmistoversiot. Check Point suosittelee, että kuluttajat suojaavat älykkäät kodinkoneensa ja WiFi-verkkonsa tunkeutujilta ja laitteiden etähallinnan kaappaamiselta toimimalla näin:
LG:n SmartThinQ® -kodinkonemallisto mahdollistaa kodin valvonnan ja laitteiden hallinnan älypuhelimen avulla. Pelkästään Hom-Bot-robotti-imurin myynti ylitti 400 000 vuoden 2016 ensimmäisellä puoliskolla. Vuonna 2016 otettiin käyttöön 80 miljoonaa älykästä kodinkonetta kautta maailman. Tämä oli 64 % enemmän kuin vuonna 2015.
Katso videolta, miten laitteen etähallintaan ottaminen tapahtuu: video löytyy täältä
Tarkemmat tiedot haavoittuvuudesta löytyvät Check Pointin blogista.
Haastattelupyynnöt:
Oded Vanunu antaa puhelinhaastatteluja, joiden ajanvarauksen hoitaa OSG Viestintä, Maija Rauha, [email protected], p. 0400 630 065
Seuraa Check Pointia:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blogi: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Seuraa Check Pointia:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blogi: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) on johtava valtionhallinnon ja yritysten kyberturvallisuusratkaisujen tarjoaja globaalisti. Sen ratkaisut suojaavat asiakasorganisaatioita kyberhyökkäyksiltä alan parhaalla haittaohjelmien, kiristysohjelmien ja muiden tietoturvan uhkien kiinnijäämisprosentilla. Check Point tarjoaa monitasoisen ja kattavan tietoturva-arkkitehtuurin, joka suojaa yritysten pilven, verkon ja mobiililaitteilla olevan informaation, sekä kattavan ja intuitiivisen, yhdestä paikasta johdettavan hallintajärjestelmän. Check Point tarjoaa tietoturvan kaiken kokoisille organisaatioille, joita on sen asiakkaina yhteensä yli 100 000.
© Koodiviidakko Oy - Y-tunnus 1939962-1