Έχετε μία ηλεκτρική σκούπα ρομπότ να
κόβει βόλτες στο σπίτι σας; Ήρθε η ώρα να ελέγξετε κατά πόσο είναι
ασφαλής, ιδίως αν είναι μάρκας LG. Ερευνητές από την ισραηλινή εταιρεία
Check Point εντόπισαν ένα hack στην εφαρμογή LG SmartThinQ που τους
επέτρεψε να ελέγξουν από απόσταση το μοντέλο Hom-Bot της LG και να
χρησιμοποιήσουν την κάμερα της ηλεκτρικής σκούπας για να
"κατασκοπεύσουν” οτιδήποτε βρισκόταν στο "οπτικό πεδίο” του ρομπότ.
Οι
ερευνητές δήλωσαν ότι θα μπορούσαν να παραβιαστούν επίσης και να τεθούν
σε κίνδυνο τα ψυγεία, οι φούρνοι, τα πλυντήρια πιάτων, τα πλυντήρια
ρούχων, τα στεγνωτήρια και τα κλιματιστικά - ήτοι οποιαδήποτε συσκευή
ελέγχεται από την εφαρμογή της LG.
Οι χρήστες θα πρέπει να προχωρήσουν στην ενημέρωση της εφαρμογής με την τελευταία έκδοση (1.9.23) μέσω του Google Play, του Apple App Store ή των ρυθμίσεων του LG SmartThinQ, αν δεν το έχουν κάνει ήδη. Αυτό θα αποτρέψει πιθανές παραβιάσεις από το hack, οι οποίες παρατηρήθηκαν για πρώτη φορά στην εφαρμογή της LG στις 31 Ιουλίου, πριν αυτή διορθωθεί στη νέα έκδοση SmartThinQ τον Σεπτέμβριο.
Οι χρήστες θα πρέπει να προχωρήσουν στην ενημέρωση της εφαρμογής με την τελευταία έκδοση (1.9.23) μέσω του Google Play, του Apple App Store ή των ρυθμίσεων του LG SmartThinQ, αν δεν το έχουν κάνει ήδη. Αυτό θα αποτρέψει πιθανές παραβιάσεις από το hack, οι οποίες παρατηρήθηκαν για πρώτη φορά στην εφαρμογή της LG στις 31 Ιουλίου, πριν αυτή διορθωθεί στη νέα έκδοση SmartThinQ τον Σεπτέμβριο.
Αλλά το hack αποδεικνύει πόσο εύκολο
είναι να εκτεθεί ένα ολόκληρο σπίτι στους hackers μέσω μίας απλής
αδυναμίας σε μία εφαρμογή για κινητά. Οι ερευνητές της Check Point
έδειξαν πώς η σκούπα Hom-Bot, την οποία φαίνεται να έχουν αποκτήσει
περισσότεροι από ένα εκατομμύριο χρήστες, θα μπορούσε να "αναγκαστεί” να
αναμεταδώσει live εικόνα βίντεο σε hackers που θα κάθονται μπροστά από
έναν υπολογιστή.
Το hack χρειάζεται μόνο μία διεύθυνση email
Η αδυναμία εντοπίζεται στον τρόπο με τον
οποίο η εφαρμογή SmartThinQ επεξεργάζεται τα στοιχεία για να εισέλθει ο
χρήστης, καθώς ένας hacker χρειάζεται να έχει μέτριες δεξιότητες για να
βρει τη διεύθυνση email του θύματος. Για να καταλάβουμε τι πήγε στραβά,
χρειάζεται να δούμε πώς χειρίζεται η εφαρμογή τη λειτουργία
πιστοποίησης του χρήστη. Πρώτον, ο χρήστης συμπληρώνει τα στοιχεία για
την είσοδό του στην εφαρμογή, τα οποία αξιολογεί ένας server. Δεύτερον,
δημιουργείται μια "υπογραφή” βάσει του ονόματος χρήστη (για παράδειγμα
της διεύθυνσης ηλεκτρονικού ταχυδρομείου). Τρίτον, δημιουργείται ένα
διακριτικό πρόσβασης, το οποίο συνδυάζει τις πληροφορίες από την
"υπογραφή” και το όνομα χρήστη. Το διακριτικό αυτό επέτρεπε την πρόσβαση
στον λογαριασμό της εφαρμογής.
Αλλά δεν υπήρχε εξάρτηση μεταξύ των
πρώτων βημάτων για την είσοδο και των επόμενων δύο, σύμφωνα με την Check
Point. Ένας hacker θα μπορούσε πρώτα να χρησιμοποιήσει το όνομα χρήστη
για να ολοκληρώσει το πρώτο βήμα, αλλά στη συνέχεια, εφόσον είχε
υποκλέψει τη ροή δεδομένων, να αλλάξει το όνομα χρήστη του θύματος για
το δεύτερο και το τρίτο βήμα. Αυτό θα επέτρεπε στους hackers την επιτυχή
πρόσβαση στον λογαριασμό του θύματος της παραβίασης.
Πρόσφατα, οι ερευνητές της IOActive
έδειξαν πώς τα ρομπότ που βοηθούν στις δουλειές του σπιτιού θα μπορούσαν
να υποστούν παραβίαση και να γίνουν βίαια, ενώ το Forbes αποκάλυψε
πολλά προβλήματα ιδιωτικότητας και ασφάλειας στα συστήματα συναγερμού
στο σπίτι πέρυσι. Αν δεν ήταν ήδη αρκετά σαφές, τα έξυπνα σπίτια
μπορούν, με λίγη προσπάθεια, να μετατραπούν σε κατάσκοποι.