Saugroboter als Spionagetool

Dem Research Team von Check Point gelang es, die Kontrolle über die Smart Home-Lösung LG SmartThinQ® zu übernehmen und angeschlossene Geräte zu kontrollieren. Die LG SmartThinQ®-Appliance wurde millionenfach verkauft und viele Nutzer sind von dieser Schwachstelle betroffen.

Der Angriff wurde durch Schwachpunkte in der LG SmartThinQ App für Mobilgeräte und in der Cloud-Applikation ermöglicht. Das Team von Check Point hatte dabei Erfolg, sich in die SmartThinQ Cloud Applikation per Fernzugriff einzuloggen und von dort aus die Nutzer-Accounts von LG-Kunden zu übernehmen. Mit diesen Zugängen konnten dann alle vernetzten Geräte im Haus des Opfers ferngesteuert werden.

Das Video zeigt, wie ein Saugroboter samt integrierter Videokamera übernommen wird. Durch die Zugriffsrechte über das Benutzerkonto können Geräte wie Kühlschränke, Öfen, Waschmaschinen, Trockner oder Klimaanlagen durch die Angreifer ferngesteuert werden.

Im Falle einer Übernahme des Home-Bot Saugroboters fällt eine Ausspionierung der Opfer sehr leicht, da der Staubsauger eine Videokamera mit Live-Stream-Funktion als Teil des HomeGuard-Angebots installiert hat. Die Webcam war eigentlich als Security Feature für die Nutzer gedacht, wurde aber so ein Spionagetool der Angreifer.

“Je mehr smarte Geräte wir in unserem Zuhause einsetzen, desto stärker fokussieren sich die Angreifer auf die Verwaltungsprogramme anstatt auf die einzelnen Endpunkte. Durch Apps haben die Cyberkriminellen wesentlich mehr Möglichkeiten, Nutzer zu attackieren und persönliche Daten abzufangen. “, so Oded Vanunu, Head of Products Vulnerability Research bei Check Point. “Die User müssen sich dem Sicherheitsrisiko bewusst sein, welches mit der Nutzung von IoT-Geräten einhergeht. Besonders wichtig ist zudem, dass die Hersteller von IoT-Geräten richtige Schutzmechanismen während der Entwicklung der Geräte und der Software integrieren.”

Check Point informierte LG bereits am 31. Juli 2017 und die Schwachpunkte wurden bis Ende September 2017 durch LG beseitigt. “Glücklicherweise reagierte LG sehr verantwortungsbewusst und stellte eine umfangreiche Beseitigung der Schwachstelle für die Appliance und die App bereit.”, teilt Oded Vanunu mit.

Um sich vor Angriffen zu schützen, sollte die LG SmartThinQ App und Appliances geupdated werden, die Software dazu steht auf der LG-Homepage zur Verfügung. Check Point empfiehlt Nutzern zudem folgende Schritte, um ihr Smart Home und Wi-Fi gegen Attacken zu schützen:

• Bringen Sie ihre LG SmartThinQ App auf den neuesten Stand (Version 1.9.23). Das Update kann via Google Play Store, Apples App Store oder über die LG SmartThinQ App unter Einstellungen eingespielt werden.
• Updaten Sie Ihre Smart Home Appliance mit der neuen Firmware. Klicken Sie dazu auf das Smart Home Produkt unter SmartThinQ Applikation Dashboard (Falls ein Update verfügbar ist sollte ein Popup-Fenster erscheinen).

LGs SmartThinQ® erfreut sich großer Beliebtheit, da das eigene Zuhause mobil und jederzeit über das Smartphone überwacht werden kann. Alleine der Home-Bot Saugrobotor wurde im ersten Halbjahr 2016 über 400.000 Mal verkauft. Im letzten Jahr wurden zudem 80 Millionen Smart Home Devices an den Mann gebracht, das entspricht einem Wachstum von 65 Prozent.