Check Point helpt bij dichten groot beveiligingslek in LG SmartThinQ huishoudelijke IoT-apparaten

Bunnik – Beveiligingsonderzoekers van Check Point Software Technologies Ltd. (NASDAQ: CHKP) hebben een kwetsbaarheid gevonden in LG SmartThinQ, genaamd HomeHack. Hierdoor zijn de miljoenen gebruikers blootgesteld aan de dreiging van onbevoegde toegang tot hun SmartThinQ huishoudelijke apparaten.

De kwetsbaarheid in de mobiele- en cloud-applicatie van LG SmartThinQ stelde onderzoekers van Check Point in staat om op afstand toegang te krijgen tot de SmartThinQ cloud-applicatie, het LG-account van de gebruiker over te nemen en de stofzuiger met integrale videocamera te bedienen. Eenmaal in het bezit van het LG-account van een specifieke gebruiker, kon elk LG-apparaat of -applicatie die bij het account hoorde door de aanvaller worden bediend. Denk daarbij aan de robotstofzuiger, koelkasten, ovens, vaatwassers, wasmachines, -drogers en airconditioners.

De HomeHack-kwetsbaarheid gaf aanvallers de mogelijkheid gebruikers te bespioneren via de videocamera van de Hom-Bot robotstofzuiger. De robotstofzuiger stuurt live video naar de bijbehorende LG SmartThinQ-app die onderdeel is van de HomeGuard-beveiligingsfunctie. Afhankelijk van de LG-apparaten in huis, was het tevens mogelijk de vaatwasser of wasmachine aan- en uit te zetten.

“Nu er steeds meer slimme apparaten in huis worden gebruikt, zullen hackers hun focus gaan verschuiven van individuele apparaten naar het hacken van apps die het netwerk of apparaat beheren. Dit biedt cybercriminelen nog meer kansen om kwetsbaarheden in software te misbruiken, de huiselijke omgeving van gebruikers te verstoren en toegang te krijgen tot hun gevoelige informatie”, zegt Oded Vanunu, head of product vulnerability research bij Check Point. “Gebruikers moeten zich bewust zijn van de beveiligings- en privacy-risico’s die het gebruik van IoT-apparaten met zich meebrengt. Het is daarnaast van groot belang dat fabrikanten van IoT-producten hun slimme apparatuur beveiligen tegen aanvallen, bijvoorbeeld door het implementeren van robuuste beveiliging tijdens het ontwerpen van software of het apparaat.”

Dankzij de kwetsbaarheden in de mobiele app van SmartThinQ waren de Check Point-onderzoekers in staat een vals LG-account aan te maken en hiermee het legitieme LG-account van de gebruiker over te nemen om vervolgens op afstand toegang te krijgen tot de slimme LG-apparaten van de gebruiker. Check Point heeft de kwetsbaarheid op 31 juli 2017 bij LG gemeld, conform de geldende disclosure-richtlijnen. LG heeft de gerapporteerde kwetsbaarheden in de SmartThinQ-applicaties eind september gedicht. “LG bood gelukkig een quality fix waarmee mogelijk misbruik van de kwetsbaarheid in zijn SmartThinQ-app en -apparaten is gestopt”, aldus Oded Vanunu.

“Als onderdeel van LG Electronics’ missie om het leven van consumenten wereldwijd te verbeteren, breiden we onze lijn next generation smart home-apparaten verder uit en hechten tegelijkertijd veel waarde aan de ontwikkeling van veilige en betrouwbare software”, zegt Koonseok Lee, Manager of Smart Development Team, Smart Solution BD bij LG Electronics. “In augustus hebben we met Check Point Software Technologies samengewerkt om een geavanceerd rooting-proces te ontwikkelen voor het detecteren van beveiligingsissues en zijn daarbij direct met het patch-programma gestart. Op 29 september heeft het beveiligingssysteem de geupdate 1.9.20-versie vlot en probleemloos uitgevoerd. We zijn van plan om onze softwarebeveiligingssystemen verder te versterken en onze samenwerking met aanbieders van cybersecurity-oplossingen, zoals Check Point, voort te zetten voor nog veiligere en gebruiksvriendelijke apparaten.”

Om hun apparaten te beschermen, moeten gebruikers van de LG SmartThinQ-mobiele app en -apparaten ervoor zorgen dat zij beschikken over de nieuwste softwareversie. Deze kan op de LG-website worden gedownload. Daarnaast adviseert Check Point consumenten de volgende stappen te ondernemen om hun slimme apparaten en WiFi-netwerk thuis te beveiligen tegen inbreuken en de mogelijkheid om op afstand apparaten over te nemen:

1.      Update de LG SmartThinQ-app naar de meest recente versie (V1.9.23). Gebruikers kunnen de app bijwerken via de Google Play Store, Apple’s App Store of via de LG SmartThinQ app-instellingen.

2.      Update de fysieke smart home-apparaten naar de meest recente versie. Dat kan door in het SmartThinQ application Dashboard op het betreffende smart home-product te klikken. Indien een update beschikbaar is, krijgen gebruikers een popup-melding.

LG’s SmartThinQ lijn van slimme apparaten en veiligheidsoplossingen maken het voor gebruikers mogelijk hun huis vanaf hun smartphone te bekijken en beheren. De Hom-Bot robotstofzuiger werd alleen al in de eerste helft van 2016 meer dan 400.000 verkocht. In 2016 werden er wereldwijd 80 miljoen smart-home apparaten verkocht. Dat is een stijging van 64% sinds 2015.

Bekijk hier de video waarin Check Point laat zien hoe een aanval kan worden uitgevoerd.

Lees meer over deze kwetsbaarheid op het blog van Check Point.

 ######

Check Point Software Technologies Ltd, de grootste pure-play security leverancier wereldwijd, biedt toonaangevende oplossingen en beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangst ratio van malware en andere soorten aanvallen. Check Point biedt een complete security-architectuur met zeer uitgebreide en intuïtieve beheersoplossingen, die de netwerken tot en met de mobiele toestellen van bedrijven beschermt. Check Point beschermt meer dan 100.000 organisaties van elke omvang. Bij Check Point beveiligen we de toekomst.