Beveiligingsbedrijf Check Point Software heeft een lek gevonden in LG SmartThinQ waarmee hackers binnen hadden kunnen dringen bij miljoenen gebruikers van huishoudelijke apparaten.
Door een fout in de mobiele- en cloud-applicatie van LG SmartThinQ konden onderzoekers van Check Point op afstand toegang krijgen tot de apparaten. Ze konden het LG-account van de gebruiker overnemen waardoor elk verbonden LG-apparaat met SmartThinQ bediend kon worden. Te denken valt aan robotstofzuigers, koelkasten, ovens, vaatwassers, wasmachines, -drogers en airconditioners.
De onderzoekers hebben het lek HomeHack genoemd. Door het lek konden ze gebruikers bespioneren via de videocamera van de Hom-Bot robotstofzuiger. De robotstofzuiger stuurt live video naar de bijbehorende LG SmartThinQ-app, een onderdeel van de HomeGuard-beveiligingsfunctie. Afhankelijk van de LG-apparaten in huis was het verder mogelijk de vaatwasser of wasmachine aan en uit te zetten.
Robuuste beveiliging
“Nu er steeds meer slimme apparaten in huis worden gebruikt, zullen hackers hun focus gaan verschuiven van individuele apparaten naar het hacken van apps die het netwerk of apparaat beheren. Dit biedt cybercriminelen nog meer kansen om kwetsbaarheden in software te misbruiken, de huiselijke omgeving van gebruikers te verstoren en toegang te krijgen tot hun gevoelige informatie”, zegt Oded Vanunu, head of product vulnerability research bij Check Point. “Gebruikers moeten zich bewust zijn van de beveiligings- en privacy-risico’s die het gebruik van IoT-apparaten met zich meebrengt. Het is daarnaast van groot belang dat fabrikanten van IoT-producten hun slimme apparatuur beveiligen tegen aanvallen, bijvoorbeeld door het implementeren van robuuste beveiliging tijdens het ontwerpen van software of het apparaat.”
Check Point heeft de kwetsbaarheid op 31 juli 2017 bij LG gemeld, conform de geldende disclosure-richtlijnen. LG heeft de gerapporteerde kwetsbaarheden in de SmartThinQ-applicaties eind september gedicht. “LG bood gelukkig een quality fix waarmee mogelijk misbruik van de kwetsbaarheid in zijn SmartThinQ-app en -apparaten is gestopt”, aldus Oded Vanunu.
Software-update
“Als onderdeel van LG Electronics’ missie om het leven van consumenten wereldwijd te verbeteren, breiden we onze lijn next generation smart home-apparaten verder uit en hechten tegelijkertijd veel waarde aan de ontwikkeling van veilige en betrouwbare software”, zegt Koonseok Lee, Manager of Smart Development Team, Smart Solution BD bij LG Electronics. “In augustus hebben we met Check Point Software Technologies samengewerkt om een geavanceerd rooting-proces te ontwikkelen voor het detecteren van beveiligingsissues en zijn daarbij direct met het patch-programma gestart. Op 29 september heeft het beveiligingssysteem de geupdate 1.9.20-versie vlot en probleemloos uitgevoerd. We zijn van plan om onze softwarebeveiligingssystemen verder te versterken en onze samenwerking met aanbieders van cybersecurity-oplossingen, zoals Check Point, voort te zetten voor nog veiligere en gebruiksvriendelijke apparaten.”
Om hun apparaten te beschermen, moeten gebruikers van de LG SmartThinQ-mobiele app en -apparaten ervoor zorgen dat zij beschikken over de nieuwste softwareversie. Deze kan op de LG-website worden gedownload. Daarnaast adviseert Check Point consumenten de volgende stappen te ondernemen om hun slimme apparaten en WiFi-netwerk thuis te beveiligen tegen inbreuken en de mogelijkheid om op afstand apparaten over te nemen:
1. Update de LG SmartThinQ-app naar de meest recente versie (V1.9.23). Gebruikers kunnen de app bijwerken via de Google Play Store, Apple’s App Store of via de LG SmartThinQ app-instellingen.
2. Update de fysieke smart home-apparaten naar de meest recente versie. Dat kan door in het SmartThinQ application Dashboard op het betreffende smart home-product te klikken. Indien een update beschikbaar is, krijgen gebruikers een popup-melding.
400.000 verkocht
LG’s SmartThinQ lijn van slimme apparaten en veiligheidsoplossingen maken het voor gebruikers mogelijk hun huis vanaf hun smartphone te bekijken en beheren. De Hom-Bot robotstofzuiger werd alleen al in de eerste helft van 2016 meer dan 400.000 verkocht. In 2016 werden er wereldwijd 80 miljoen smart-home apparaten verkocht. Dat is een stijging van 64% sinds 2015.
Bekijk hier de video waarin Check Point laat zien hoe een aanval kan worden uitgevoerd.
Gedetailleerde informatie over de hack staat op het Engelstalige weblog van Check Point.