Zhackowali odkurzacz – możliwość zdalnego sterowania / dostęp do feedu video ofiar

28 października 2017, 19:51 | Aktualności | komentarzy 7
Tagi: , , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Checkpoint pokazuje jak przejąć inteligentny odkurzacz  firmy LG (Hom-Bot robotic vacuum cleaner) – dostęp na żywo do feedu video z odkurzacza, ale także możliwość sterowania nim.

Wystarczy znać… e-mail użytkownika takiego sprzętu. Odłamkami dostały też wybrane zmywarki i pralki LG – można je zdalnie włączać / wyłączać.

TL;DR – zobaczcie poglądowy film:

Od strony technicznej zaczęło się od przygotowania środowiska i zrootowania własnego odkurzacza:

Poźniej  droga prowadziła do aplikacji mobilnej używanej do sterowania sprzętem i przechwycenia jej komunikacji, korzystając z dobrze znanego burpa.

Dalsza analiza komunikacji z API LG, pokazała że można uwierzytelnić się w API swoim (jako atakujący) emailem / hasełem. Ale po udanym uwierzytelnieniu można było użyć e-mail ofiary – w celu uzyskania dostępu do jej konta (w końcu jak jesteśmy uwierzytelnieni to możemy wszystko, prawda? ;-)

LG wydał odpowiednie poprawki – zarówno dla aplikacji mobilnej, firmware odkurzacza i zapewne również dla części serwerowej rozwiązania.

–ms

 

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. markac

    Ja pie… Na prawdę nie można się już czuć bezpiecznie we własnym domu, aby nikt Ciebie nie podglądał?
    Nie wierzę, że takie rzeczy są tworzone przypadkowo,
    chociaż nie jestem człowiekiem, który wszędzie wietrzy teorie spiskowe.
    Jedyna rada, nie kupować sprzętów z kamerami, mikrofonami (podsłuchujące TV) itp…
    Pomyślcie, co robią ze smartphonami…

    Odpowiedz
  2. Adam

    A po co ten odkurzacz miał wogole kamerę?
    Myślałem ze czujników się różnych używa taniej i lepiej żeby nim sterowac?

    Odpowiedz
  3. Tak już widzę jak wszystkie gospodynie domowe aktualizują firmware w odkurzaczach i pralkach LG :)

    Odpowiedz
    • Muffin

      Co ma do tego firmware odkurzacza?

      Odpowiedz
  4. Tony Hołk

    @markac obawiam się, że kiedy cena urządzeń IoT spadnie do poziomu ich niesieciowych odpowiedników, firmy zaczną się wycofywać ze starych rozwiązań, a korzystanie ze starych rozwiązań zostanie tylko domeną prawdziwych hackerów, ew. ludzi z dużą wiedzą techniczną i zainteresowaniem tematem.

    Odpowiedz
  5. John Sharkrat

    Tylko ile osób wgra ten firmware do odkurzacza? Obstawiam 0,001%

    Odpowiedz

Odpowiedz