• IT-Karriere:
  • Services:

Check Point: LGs smarter Staubsauger lässt sich heimlich fernsteuern

LG hat eine Sicherheitslücke in seiner Smart-Home-App gepatcht, die eine volle Kontrolle über alle verbundenen Geräte ermöglicht hat. Dazu ist nur die Mailadresse der Besitzer erforderlich. Betroffen ist unter anderem die Kamera in einem smarten Staubsauger.

Artikel veröffentlicht am ,
Die Sicherheitsforscher haben auch die Firmware des Staubsaugers analysiert.
Die Sicherheitsforscher haben auch die Firmware des Staubsaugers analysiert. (Bild: Check Point)

Smart-Home-Geräte von LG lassen sich mit einer alten Version der App von Fremden übernehmen. Ein Problem bei der Authentifizierung hatte es Angreifern mit einigem Aufwand ermöglicht, heimlich die Kontrolle über die Geräte zu übernehmen - und so etwa Videoaufnahmen eines smarten Staubsaugers anzusehen, ohne dass die Besitzer davon etwas mitbekommen.

Stellenmarkt
  1. Kaufland Dienstleistung GmbH & Co. KG, Heilbronn
  2. DRÄXLMAIER Group, München

Die Schwachstelle liegt nicht in den Geräten selbst, sondern in der zur Verwaltung verwendeten App von LG. Die SmartThinq-App dient als zentrale Anlaufstelle für alle vernetzten LG-Produkte - vom Staubsauger Hom Bot bis hin zur Mikrowelle, der Tiefkühltruhe und dem Geschirrspüler.

Die Sicherheitsfirma Check Point schreibt in ihrer Analyse, dass ein Angreifer die App so manipulieren kann, dass er jeden beliebigen LG-Account damit übernehmen kann. Es ist also keinerlei Zugriff auf die Geräte des Nutzers erforderlich, es muss auch kein Man-in-the-Middle-Angriff auf die Verbindung des Opfers durchgeführt werden.

Der Aufwand dafür ist nicht gering, denn die App muss zunächst angepasst werden. Einerseits kann die App auf gerooteten Smartphones nicht genutzt werden, dieser "Schutz" kann jedoch nach Angaben von Check Point relativ einfach entfernt werden, indem einige Calls im Code entfernt werden. Außerdem wird der TLS-verschlüsselte Datenverkehr über einen Proxy geleitet, um den Datenverkehr zu analysieren. Nach der Anpassung der App muss diese neu kompiliert werden.

Zunächst scheint LG dabei alles richtig zu machen und verwendet sogar ein gepinntes Zertifikat. Das lässt sich nach Angaben von Check Point allerdings umgehen. Im nächsten Schritt folgt dann der eigentliche Angriff. Dabei werden zunächst die Anmeldedaten des Nutzers geprüft. Dazu legten die Forscher zunächst einen LG-Account mit ihrer eigenen Mailadresse an. Aus diesem Request wird dann eine Signatur abgeleitet und ein Token versendet. Dieses Token wird am Ende verwendet, um den Loginvorgang abzuschließen.

Die Authentifizierungsschritte sind austauschbar

Allerdings seien die Schritte nicht logisch aufeinander aufbauend gewesen. So hätte ein Angreifer zunächst ein Login mit dem eigenen Benutzernamen vornehmen können und dann in einem zweiten Schritt einen anderen Account-Identifier nutzen können, um den Vorgang abzuschließen. Dazu sei nur die E-Mailadresse des LG-Accounts des Opfers notwendig. Die Kenntnis des Passworts ist dazu nicht erforderlich.

Mit diesem Mechanismus hätte ein Angreifer dann Zugriff auf alle vom eigentlichen Benutzer registrierten Geräte. Weil der Staubsauger über eine eingebaute Kamera verfügt, wäre es möglich gewesen, den Live-Feed auszuspielen. Auch die Kontrolle über die Funktionen der anderen Geräte wäre dann über die gekaperte App möglich gewesen.

Der geschilderte Angriff hat relativ viele Voraussetzungen und dürfte daher nur in gezielten Angriffsszenarien relevant sein. LG hat die Schwachstelle mittlerweile gepatcht, Nutzer sollten die aktuellsten Updates einspielen. Die Fehler sind ab Version 1.9.23 behoben, das Update ist über die Appstores von Google und Apple zu beziehen. Auch die Firmware der Geräte selbst kann über die App aktualisiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 16,49€
  2. 4,29
  3. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  4. 9,99€

Dwalinn 27. Okt 2017

Das ist nicht gerade ein passendes Beispiel..... das Problem war schließlich das "Kluge...

das_mav 27. Okt 2017

Wo Smart drauf steht ist dumm drin und so ziemlich knapp über 100% aller relativen...

ObjectID 26. Okt 2017

Naja, ich schätze mal es wurden weitere Fehler in der App gemacht, dass man zum Beispiel...


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT

Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel


    AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
    AfD und Elektroautos
    "Herr, lass Hirn vom Himmel regnen!"

    Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
    Eine Analyse von Friedhelm Greis

    1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
    2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
    3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz

      •  /