Check Point攜手LG打造安全智慧家電
【2017年11月2日】全球網路安全解決方案領導廠商 Check Point Software Technologies Ltd. (NASDAQ股票代碼:CHKP) 宣布,其安全研究人員已發現了一個漏洞 HomeHack,可能造成上百萬個 LG SmartThinQ® 智慧家電使用者面臨未經授權、即可遠端控制其智慧家電的風險。
Check Point 研究團隊利用 LG SmartThinQ行動與雲端應用程式的漏洞,從遠端登入 SmartThinQ 雲端應用程式,並管理使用者的合法LG 帳戶,進而控制吸塵器及其內建攝影機。一旦攻擊者接管使用者的 LG 帳戶,所有與該帳戶連結的 LG 裝置或家電都可能連帶被控制,例如掃地機器人、冰箱、烤箱、洗碗機、洗衣機、烘乾機和空調等都無一倖免。
HomeHack 漏洞能夠讓攻擊者透過 Hom-Bot 掃地機器人上的攝影機,偷窺使用者家中的活動。作為居家安全守衛 (HomeGuard Security) 功能的一部分,掃地機器人上的攝影機可傳送即時影片到相關的 LG SmartThinQ 應用程式。除此之外,根據使用者家中LG 家電的不同設定,攻擊者甚至可以關閉冰箱、開啟烤箱或電磁爐而導致火災,或是對空調系統設定進行干擾。
Check Point 產品漏洞研究部門主管 Oded Vanunu 表示:「隨著現代人家中使用的智慧裝置越來越多,駭客開始將攻擊重心由個別裝置,轉移至控制裝置網路的應用程式上。網路犯罪者有更多機會利用軟體缺陷,侵入使用者家中的網路並存取敏感資料。因此,在使用物聯網裝置時,使用者必須注意安全與隱私風險;而物聯網製造商在軟體與裝置的設計階段,就必須納入強大的安全機制,以保護智慧裝置免受攻擊。」
Check Point 研究人員利用SmartThinQ 行動應用程式的漏洞建立了一個假 LG 帳戶,並從該帳戶接管使用者的合法 LG 帳戶,進而遠端控制使用者的 LG 智慧家電。Check Point依循揭露準則,於2017 年 7 月 31 日時向 LG 回報了這項漏洞,而 LG 也在 9 月底時針對所回報的問題修復了 SmartThinQ 應用程式。Oded Vanunu對此表示:「很高興看到 LG 以負責的態度,提供了優質的修補程式來阻止 SmartThinQ 應用程式與裝置的問題遭到利用。」
LG Electronics 智慧解決方案業務部門智慧開發團隊經理 Koonseok Lee指出:「LG的使命是改善全球消費者的生活。正因如此,我們不斷擴展新一代智慧家電產品陣容,同時也將開發安全可靠的軟體程式排在第一要務。今年 8 月,LG與 Check Point合作實施一套進階的根本原因查尋流程,來偵測安全問題,並立即開始更新修補程式。自 9 月 29 日起,安全系統即順利執行更新後的 1.9.20 版,未發生任何問題。LG計畫繼續加強其軟體安全系統,並與像 Check Point 這樣的網路安全解決方案供應商合作,提供更安全方便的家電設備。」
為保護其裝置產品,SmartThinQ 行動應用程式與家電的使用者應前往 LG 網站,將軟體更新為最新版本。Check Point 也建議消費者採取以下步驟,避免自己的智慧裝置與家用 Wi-Fi 網路遭受入侵和遠端控管供應商的可能性:
- 將 LG SmartThinQ 應用程式更新為最新版本 (V1.9.23):您可以透過 Google Play 商店、Apple 的 App Store,或是透過 LG SmartThinQ 應用程式設定來更新該應用程式。
- 將智慧家用實體裝置更新至最新版本:在LG SmartThinQ 應用程式儀表板上按一下該智慧家用產品,即可進行更新 (如有更新可用,就會彈出通知)
LG 的 SmartThinQ® 智慧家電暨安全解決方案系列讓使用者能直接在智慧型手機上監控及打理家務。在 2016 年上半年,光是 Hom-Bot 掃地機器人的銷售量就超過 40 萬台。而2016 年共有 8000 萬台智慧家用裝置銷往世界各地,較 2015 年成長了 64%。
若要瞭解攻擊可能的進行方式,請點擊此處觀看影片
若要深入瞭解這項漏洞,請造訪 Check Point部落格
透過社群媒體追蹤 Check Point 動態:
Twitter:http://www.twitter.com/checkpointsw
Facebook:https://www.facebook.com/checkpointsoftware
部落格:http://blog.checkpoint.com
YouTube:http://www.youtube.com/user/CPGlobal
LinkedIn:https://www.linkedin.com/company/check-point-software-technologies