Le strade intraprese dagli hacker per sottrarre dati ormai non riguardano più solo pc e dispositivi mobile, ma passano per tutte quelle apparecchiature che hanno un accesso alla rete, come gli smart TV o gli elettrodomestici di ultima generazione, la cosiddetta Internet delle Cose (IoT).
I ricercatori hanno infatti individuato una vulnerabilità, chiamata HomeHack, nell’applicazione mobile e Cloud Lg SmartThinkQ che consente l’accesso da remoto a tutti gli apparati compatibili con la tecnologia sviluppata dall’azienda coreana e che: “Ha già portato i milioni di utenti dei dispositivi smart home Lg SmartThinQ a essere esposti a rischio di controllo remoto non autorizzato dei propri elettrodomestici”, come spiega una nota degli stessi esperti.
Nello specifico le vulnerabilità presenti nell’applicazione mobile e Cloud hanno permesso agli esperti di accedere in modalità remota all’applicazione Cloud dando l’accesso in maniera legittima al profilo Lg dell’utente, ottenendo così il controllo dell’aspirapolvere e della videocamera in esso integrata. Accendendo quindi all’account, qualsiasi dispositivo ad esso associato potrebbe essere controllato dai criminali informatici, compreso il robot aspirapolvere, frigoriferi, forni, lavastoviglie, lavatrici, asciugatrici e condizionatori d’aria.
La nota prosegue indicando come “La vulnerabilità di HomeHack avrebbe potuto consentire ai criminali di spiare le attività casalinghe degli utenti tramite la videocamera presente nel robot aspirapolvere Hom-Bot, che invia video live all’applicazione LG SmartThinQ, presente all’interno della funzionalità HomeGuard Security. In base agli elettrodomestici Lg presenti in casa, gli hacker avrebbero potuto anche accendere o spegnere lavastoviglie o lavatrici”.
Il team di ricercatori “raccomanda ai possessori di prodotti e agli utenti dell’app mobile di controllare di aver aggiornato i propri sistemi con le ultime versioni disponibili sul sito di Lg” oltre a invitare i consumatori “di adottare le seguenti operazioni per proteggere i propri elettrodomestici e le reti Wi-Fi domestiche da un eventuale intrusione o dal rischio di perdere il controllo dei propri device: aggiornare l’applicazione LG SmartThinQ all’ultima versione (V1.9.23), è possibile farlo tramite Google Play, l’App Store di Apple o la stessa app di LG SmartThinQ; aggiornare i dispositivi Smart Home alla versione più recente, è possibile farlo facendo clic sul prodotto all’interno della dashboard presente nell’applicazione SmartThinQ (se è disponibile un aggiornamento si riceve un popup)”.
La piattaforma LG SmartThinQ consente inoltre agli utenti di monitorare e gestire le proprie case da uno smartphone, ambiente estremamente ricco di opportunità per gli hacker visto che nel 2016 80 milioni di dispositivi smart home sono stati venduti in tutto il mondo, con un aumento del 64% rispetto all’anno precedente.
“Poiché che in casa sono presenti sempre più dispositivi connessi al web, gli hacker stanno spostando la loro attenzione dai singoli dispositivi alle applicazioni che controllano reti di dispositivi. Ciò consente ai criminali informatici di avere ancora più opportunità per sfruttare le falle dei software, causare danni nelle case degli utenti e accedere ai loro dati sensibili”, spiega Oded Vanunu, head of products vulnerability research della società che ha scoperto la vulnerabilità. “Gli utenti devono essere consapevoli dei rischi legati alla sicurezza e alla privacy quando utilizzano dispositivi IoT ed è fondamentale che i produttori di device connessi alla rete investano sulla difesa di questi dispositivi dagli attacchi, inserendo un solido sistema di sicurezza durante la progettazione di software e dispositivi”.
La società di soluzioni di sicurezza informatica che ha scoperto la falla ne ha dato notifica a Lg lo scorso 31 luglio 2017, come dalle linee guida di divulgazione responsabili, che l’azienda ha corretto a fine di settembre. Come indicato da Vanunu “Lg ha saputo fornire responsabilmente una risposta di alto livello che ha bloccato immediatamente il possibile sfruttamento delle falle contenute nei dispositivi e nell’app SmartThinQ”.
Lascia un commento