info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

تبدیل ابزار‌های هوشمند ال‌جی به ربات‌های جاسوسی از راه دور

خلاصه: LG با همکاری محققان امنیتی یک آسیب‌پذیری در برنامه‌های موبایل را که مشتریان از آن برای کنترل وسعت دید دستگاه‌های خانه‌ی هوشمند LG استفاده می‌کنند، وصله کرد. این آسیب‌پذیری برنامه‌ی SmartThinQ را که برای کنترل همه‌ی ابزار‌های هوشمند خانه شامل فرهای هوشمند، جاروی برقی، ماشین ظرفشویی، یخچال ‌‌فریزر، ماشین لباسشویی، خشک‌کن و غیره استفاده می‌شود را تحت تأثیر قرار می‌دهد.

 از یک فاجعه‌ی امنیتی جلوگیری کرد! این کمپانی با همکاری محققان امنیتی یک آسیب‌پذیری در برنامه‌های موبایل را که مشتریان از آن برای کنترل وسعت دید دستگاه‌های خانه‌ی هوشمند LG استفاده می‌کنند، وصله کرد.

این آسیب‌پذیری برنامه‌ی SmartThinQ را که برای کنترل همه‌ی ابزار‌های هوشمند خانه شامل فرهای هوشمند، جاروی برقی، ماشین ظرفشویی، یخچال‌ ‌فریزر، ماشین لباسشویی، خشک‌کن و غیره استفاده می‌شود را تحت تأثیر قرار می‌دهد. این نقص توسط محققان امنیتی شرکت چک‌پوینت کشف شد.

به گفته‌ی محققان، مهاجم می‌تواند فرآیند احراز اصالت که بین برنامه‌ی SmartThinQ و سرورهای LG رخ می‌دهد را بدزدد و قادر خواهد بود که حساب‌های کاربران و کنترل دستگاه‌ها در خانه‌ی کاربر را در دست بگیرد.

به‌عنوان مثال مهاجم می‌تواند فر را بیش از حد گرم کند، دمای خانه را تغییر دهد و یا از طریق دوربین‌های فعال دستگاه‌ها از کاربران جاسوسی کند.

و اما خبر خوب این است که این آسیب‌پذیری اکنون وصله شده است و حتی اگر کاربران هنوز از نسخه‌های قدیمی برنامه استفاده می‌کنند بهره‌برداری از این آسیب‌پذیری آسان نیست.

ابتدا لازم است که مهاجم برنامه‌ LG را برای دور زدن محافظت‌های امنیتی در سمت کلاینت مجدداً کامپایل کند. این‌کار باعث می‌شود که ترافیک بین ابزار و سرور‌های LG جدا شود. سپس مهاجم باید یک حساب کاربری جعلی برای آغاز کردن روند ورود به سیستم ایجاد کند. با دستکاری فرآیند ورود و وارد کردن آدرس ایمیل قربانی به‌ جای آدرس خود، امکان به‌ دست آوردن حساب کاربری قربانی و در دست گرفتن کنترل دستگاه‌هایی شامل ربات جاروبرقی، یخچال، فرها، ماشین‌های ظرفشویی، لباسشویی و خشک‌کن‌ها فراهم می‌شود.

گام‌های  بهره‌برداری ذکر شده در بالا آسان نیستند ولی با این حال غیرقابل دسترس نیز نیستند.

LG به‌روزرسانی‌ای را برای برنامه‌ی SmartThinQ (نسخه‌ی ۱.۹.۲۰ در ۲۹ سپتامبر) و همچنین به‌روزرسانی‌هایی سیستم‌عامل را برای ابزارهای هوشمند تحت تأثیر قرار گرفته منتشر کرده است.

چک‌پوینت این آسیب‌پذیری را با عنوان HomeHack ردیابی می‌کند.
 

 

مطالب مرتبط

تحت نظارت وف ایرانی