Zhackowali odkurzacz – możliwość zdalnego sterowania / dostęp do feedu video ofiar

Checkpoint pokazuje jak przejąć inteligentny odkurzacz  firmy LG (Hom-Bot robotic vacuum cleaner) – dostęp na żywo do feedu video z odkurzacza, ale także możliwość sterowania nim.

Wystarczy znać… e-mail użytkownika takiego sprzętu. Odłamkami dostały też wybrane zmywarki i pralki LG – można je zdalnie włączać / wyłączać.

TL;DR – zobaczcie poglądowy film:

Od strony technicznej zaczęło się od przygotowania środowiska i zrootowania własnego odkurzacza:

Poźniej  droga prowadziła do aplikacji mobilnej używanej do sterowania sprzętem i przechwycenia jej komunikacji, korzystając z dobrze znanego burpa.

Dalsza analiza komunikacji z API LG, pokazała że można uwierzytelnić się w API swoim (jako atakujący) emailem / hasełem. Ale po udanym uwierzytelnieniu można było użyć e-mail ofiary – w celu uzyskania dostępu do jej konta (w końcu jak jesteśmy uwierzytelnieni to możemy wszystko, prawda? ;-)

LG wydał odpowiednie poprawki – zarówno dla aplikacji mobilnej, firmware odkurzacza i zapewne również dla części serwerowej rozwiązania.

–ms