Lỗi trên ứng dụng di động cho phép hacker kiểm soát thiết bị LG

LG Electronics đã cố gắng tránh thảm họa bảo mật khi làm việc với các nhà nghiên cứu để vá lỗ hổng trên ứng dụng di động mà khách hàng dùng để kiểm soát thiết bị nhà thông minh LG.

Lỗ hổng ảnh hưởng tới ứng dụng LG SmartThinQ được dùng để điều khiển các thiết bị nhà thông minh của LG như lò nướng, máy rửa bát, tủ lạnh, máy giặt, điều hòa không khí…

Lỗ hổng này được các nhà nghiên cứu tại Check Point của Israel phát hiện ra và báo với LG.

Lỗ hổng cho phép hacker chiếm quyền thiết bị LG

Theo các nhà nghiên cứu, kẻ tấn công có thể hijack vào quá trình xác thực giữa SmartThinQ và các máy chủ LG.

Hacker từ đó có thể chiếm tài khoản người dùng, kiểm soát thiết bị. Ví dụ như làm tăng nhiệt độ lò nướng, thay đổi nhiệt độ trong nhà hoặc do thám qua các thiết bị có dùng camera. Một thiết bị có tích hợp camera là thiết bị hút bụi LG Hom-Bot.

Lỗ hổng giúp hacker kiểm soát thiết bị nhà thông minh của LG đã được vá

Để chứng minh, Check Point có đăng video chứng minh cách hack SmartThinQ có thể cho phép kẻ tấn công do thám như thế nào.

Tin vui là lỗ hổng này đã được vá ngay cả khi bạn dùng ứng dụng cũ thì cũng không dễ khai thác lỗ hổng này.

Các bước khai thác lỗ hổng nói trên cũng không hề dễ thực hiện nếu hacker không có kĩ năng.

Đã có các bản vá lỗ hổng

LG đã cập nhật SmartThinQ (v1.9.20 vào ngày 29/9) và cập nhật firmware cho các thiết bị nhà thông minh bị ảnh hưởng.

Check Point gọi lỗ hổng này là HomeHack và đưa ra báo cáo chi tiết tại đây.

https://blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/