Check Point Software Technologies, il più grande fornitore mondiale specializzato nel campo della sicurezza, annuncia oggi la scoperta di HomeHack, una vulnerabilità che ha già esposto milioni di utenti proprietari di dispositivi smart home LG SmartThinQ® a rischio di controllo remoto non autorizzato dei propri elettrodomestici SmartThinQ.
Le vulnerabilità nell’applicazione mobile e cloud di LG SmartThinQ hanno permesso al team di ricerca Check Point di accedere in modalità remota all’applicazione cloud di SmartThinQ, entrare in maniera legittima nel profilo LG dell’utente e ottenere il controllo dell’aspirapolvere e della sua videocamera integrata. Una volta preso il controllo dell’account LG, qualsiasi dispositivo o apparecchio LG associato a tale profilo potrebbe essere controllato dall’hacker, compresi i robot aspirapolvere, frigoriferi, forni, lavastoviglie, lavatrici, asciugatrici e condizionatori d’aria.
La vulnerabilità di HomeHack, per esempio, avrebbe potuto consentire ai criminali di spiare le attività casalinghe degli utenti tramite la videocamera presente nel robot aspirapolvere Hom-Bot, che invia video live all’applicazione LG SmartThinQ, presente all’interno della funzionalità HomeGuard Security. In base agli elettrodomestici LG presenti in casa, gli hacker avrebbero potuto anche accendere o spegnere lavastoviglie o lavatrici.
“Poiché in casa sono presenti sempre più dispositivi connessi al web, gli hacker stanno spostando la loro attenzione dai singoli dispositivi alle applicazioni che controllano reti di dispositivi. Ciò consente ai criminali informatici di avere ancora più opportunità per sfruttare le falle dei software, causare danni nelle case degli utenti e accedere ai loro dati sensibili“, ha dichiarato Oded Vanunu, head of products vulnerability research di Check Point. “Gli utenti devono essere consapevoli dei rischi legati alla sicurezza e alla privacy quando utilizzano dispositivi IoT ed è fondamentale che i produttori di device connessi alla rete investano sulla difesa di questi dispositivi dagli attacchi, inserendo un solido sistema di sicurezza durante la progettazione di software e dispositivi“.
Le vulnerabilità presenti nell’applicazione mobile SmartThinQ hanno permesso al team di ricerca di Check Point di creare un falso account LG, sostituendosi al legittimo account e, di conseguenza, ottenere il controllo remoto di tutti gli elettrodomestici LG connessi alla rete. Check Point ha comunicato la vulnerabilità a LG lo scorso 31 luglio 2017, in linea con le opportune linee guida di divulgazione.
LG ha risolto i problemi presenti nell’applicazione SmartThinQ alla fine di settembre. “LG ha saputo fornire responsabilmente una risposta di alto livello che ha bloccato immediatamente il possibile sfruttamento delle falle contenute nei dispositivi e nell’app SmartThinQ“, ha dichiarato Oded Vanunu.
“La mission di LG Electronics è quella di migliorare la vita delle persone in tutto il mondo, per questo motivo stiamo ampliando la nostra linea di elettrodomestici di nuova generazione, privilegiando anche lo sviluppo di programmi software sicuri e affidabili“, ha dichiarato Koonseok Lee Manager di Smart Development Team, Soluzione intelligente BD, LG Electronics. “In agosto, LG Electronics ha collaborato con Check Point Software Technologies per eseguire un processo avanzato di “rooting” in grado di rilevare i problemi di sicurezza e iniziare immediatamente ad aggiornare le patch di sicurezza. Il nuovo sistema di sicurezza, in vigore dallo scorso 29 settembre, ha eseguito la versione aggiornata 1.9.20 senza problemi. LG Electronics prevede di continuare a rafforzare i propri sistemi di sicurezza e di lavorare con fornitori di soluzioni di sicurezza informatica come Check Point per offrire apparecchi più sicuri e più conformi“.
Per proteggere i propri dispositivi, i possessori dei prodotti e gli utenti dell’app mobile LG SmartThinQ devono aggiornare i propri sistemi alle ultime versioni disponibili sul sito di LG. Check Point consiglia inoltre ai consumatori di adottare le seguenti operazioni per proteggere i propri elettrodomestici e le reti Wi-Fi domestiche da un eventuale intrusione o dalla possibilità di controllo remoto dei propri device:
- aggiornare l’applicazione LG SmartThinQ all’ultima versione (V1.9.23), è possibile farlo tramite Google Play, l’App Store di Apple o la stessa app di LG SmartThinQ;
- aggiornare i dispositivi Smart Home alla versione più recente, è possibile farlo facendo clic sul prodotto all’interno della dashboard presente nell’applicazione SmartThinQ (se è disponibile un aggiornamento si riceve un popup
La piattaforma LG SmartThinQ® consente agli utenti di monitorare e gestire le proprie case da uno smartphone. Solo le vendite dell’aspirapolvere Hom-Bot hanno superato le 400.000 unità nella prima metà del 2016. Complessivamente, nel 2016, 80 milioni di dispositivi smart home sono stati venduti in tutto il mondo, con un aumento del 64% rispetto al 2015.
Di seguito un video di come potrebbe svolgersi un potenziale attacco.