Abo
  • Services:

Check Point: LGs smarter Staubsauger lässt sich heimlich fernsteuern

LG hat eine Sicherheitslücke in seiner Smart-Home-App gepatcht, die eine volle Kontrolle über alle verbundenen Geräte ermöglicht hat. Dazu ist nur die Mailadresse der Besitzer erforderlich. Betroffen ist unter anderem die Kamera in einem smarten Staubsauger.

Artikel veröffentlicht am ,
Die Sicherheitsforscher haben auch die Firmware des Staubsaugers analysiert.
Die Sicherheitsforscher haben auch die Firmware des Staubsaugers analysiert. (Bild: Check Point)

Smart-Home-Geräte von LG lassen sich mit einer alten Version der App von Fremden übernehmen. Ein Problem bei der Authentifizierung hatte es Angreifern mit einigem Aufwand ermöglicht, heimlich die Kontrolle über die Geräte zu übernehmen - und so etwa Videoaufnahmen eines smarten Staubsaugers anzusehen, ohne dass die Besitzer davon etwas mitbekommen.

Stellenmarkt
  1. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  2. Ludwig Beck AG, München

Die Schwachstelle liegt nicht in den Geräten selbst, sondern in der zur Verwaltung verwendeten App von LG. Die SmartThinq-App dient als zentrale Anlaufstelle für alle vernetzten LG-Produkte - vom Staubsauger Hom Bot bis hin zur Mikrowelle, der Tiefkühltruhe und dem Geschirrspüler.

Die Sicherheitsfirma Check Point schreibt in ihrer Analyse, dass ein Angreifer die App so manipulieren kann, dass er jeden beliebigen LG-Account damit übernehmen kann. Es ist also keinerlei Zugriff auf die Geräte des Nutzers erforderlich, es muss auch kein Man-in-the-Middle-Angriff auf die Verbindung des Opfers durchgeführt werden.

Der Aufwand dafür ist nicht gering, denn die App muss zunächst angepasst werden. Einerseits kann die App auf gerooteten Smartphones nicht genutzt werden, dieser "Schutz" kann jedoch nach Angaben von Check Point relativ einfach entfernt werden, indem einige Calls im Code entfernt werden. Außerdem wird der TLS-verschlüsselte Datenverkehr über einen Proxy geleitet, um den Datenverkehr zu analysieren. Nach der Anpassung der App muss diese neu kompiliert werden.

Zunächst scheint LG dabei alles richtig zu machen und verwendet sogar ein gepinntes Zertifikat. Das lässt sich nach Angaben von Check Point allerdings umgehen. Im nächsten Schritt folgt dann der eigentliche Angriff. Dabei werden zunächst die Anmeldedaten des Nutzers geprüft. Dazu legten die Forscher zunächst einen LG-Account mit ihrer eigenen Mailadresse an. Aus diesem Request wird dann eine Signatur abgeleitet und ein Token versendet. Dieses Token wird am Ende verwendet, um den Loginvorgang abzuschließen.

Die Authentifizierungsschritte sind austauschbar

Allerdings seien die Schritte nicht logisch aufeinander aufbauend gewesen. So hätte ein Angreifer zunächst ein Login mit dem eigenen Benutzernamen vornehmen können und dann in einem zweiten Schritt einen anderen Account-Identifier nutzen können, um den Vorgang abzuschließen. Dazu sei nur die E-Mailadresse des LG-Accounts des Opfers notwendig. Die Kenntnis des Passworts ist dazu nicht erforderlich.

Mit diesem Mechanismus hätte ein Angreifer dann Zugriff auf alle vom eigentlichen Benutzer registrierten Geräte. Weil der Staubsauger über eine eingebaute Kamera verfügt, wäre es möglich gewesen, den Live-Feed auszuspielen. Auch die Kontrolle über die Funktionen der anderen Geräte wäre dann über die gekaperte App möglich gewesen.

Der geschilderte Angriff hat relativ viele Voraussetzungen und dürfte daher nur in gezielten Angriffsszenarien relevant sein. LG hat die Schwachstelle mittlerweile gepatcht, Nutzer sollten die aktuellsten Updates einspielen. Die Fehler sind ab Version 1.9.23 behoben, das Update ist über die Appstores von Google und Apple zu beziehen. Auch die Firmware der Geräte selbst kann über die App aktualisiert werden.



Anzeige
Hardware-Angebote
  1. und 20€ Steam-Guthaben geschenkt bekommen
  2. (reduzierte Überstände, Restposten & Co.)

Dwalinn 27. Okt 2017

Das ist nicht gerade ein passendes Beispiel..... das Problem war schließlich das "Kluge...

das_mav 27. Okt 2017

Wo Smart drauf steht ist dumm drin und so ziemlich knapp über 100% aller relativen...

ObjectID 26. Okt 2017

Naja, ich schätze mal es wurden weitere Fehler in der App gemacht, dass man zum Beispiel...


Folgen Sie uns
       


Youtube Music - angeschaut

Wir haben uns das neue Youtube Music angeschaut. Davon gibt es eine kostenlose Version mit Werbeeinblendungen und zwei Abomodelle. Youtube Music Premium ist quasi der Nachfolger von Googles Play Musik. Das Monatsabo für Youtube Music Premium kostet 9,99 Euro.

Youtube Music - angeschaut Video aufrufen
Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

    •  /