Posted in Novosti

Hakeri mogu pretvoriti LG usisivače u špijunske robote

 Published Date: October 27, 2017

Hakeri mogu pretvoriti LG usisivače u špijunske robote

Istraživači iz kompanije CheckPoint su na svom blogu objavili ranjivost koja im omogućava da špijuniraju korisnike korišćenjem uređaja koji koriste LG-ovu SmartThinQ  platformu.  SmartThinQ je platforma koja omogućava udaljeno upravljanje „pametnim“ uređajima koji uključuju automatske usisivače, klima uređaje, mašine za pranje suđa, mašine za pranje veša, frižidere i sl.

Ranjivost, nazvana HomeHack, pronađena je u mobilnoj aplikaciji i cloud sistemu koji koristi SmartThinQ, a omogućava preuzimanje naloga. Radi se o grešci u načinu na koji SmartThinQ postupa sa kredencijalima, eksploatacija zahtijeva osrednje hakerske vještine i poznavanje e-mail adrese žrtve.

Istraživači su koristeći HomeHack, preuzeli „pametni“ usisivač „Hom-bot“  koji je prodat u preko milion primjeraka. „Hom-bot“ je opremljen senzorima pokreta i kamerama koje bi omogućile napadaču da špijuniraju korisnike.

Demonstraciju možete pogledati na youtube.com.

Kako bi se uspostavila veza se SmartThingQ potrebno je proći sljedeće korake:

  1. Korisnik unese svoju e-mail adresu i lozinku koje se verifikuju od strane servera.
  2. Kreira se potpis na osnovu e-mail adrese (u potpis ne ulaze informacije o lozinci).
  3. Kreira se token na osnovu potpisa.
  4. Token se koristi za autentifikaciju.

Istraživači su uočili da ne postoji veza između prvog i ostalih koraka, što im omogućava da kreiraju autentifikacioni token ukoliko znaju e-mail adresu korisnika.

Izvor:thehackernews.com

Leave a Reply