Check Point: LGs smarter Staubsauger lässt sich heimlich fernsteuern

LG hat eine Sicherheitslücke in seiner Smart-Home-App gepatcht, die eine volle Kontrolle über alle verbundenen Geräte ermöglicht hat. Dazu ist nur die Mailadresse der Besitzer erforderlich. Betroffen ist unter anderem die Kamera in einem smarten Staubsauger.

Artikel veröffentlicht am ,
Die Sicherheitsforscher haben auch die Firmware des Staubsaugers analysiert.
Die Sicherheitsforscher haben auch die Firmware des Staubsaugers analysiert. (Bild: Check Point)

Smart-Home-Geräte von LG lassen sich mit einer alten Version der App von Fremden übernehmen. Ein Problem bei der Authentifizierung hatte es Angreifern mit einigem Aufwand ermöglicht, heimlich die Kontrolle über die Geräte zu übernehmen - und so etwa Videoaufnahmen eines smarten Staubsaugers anzusehen, ohne dass die Besitzer davon etwas mitbekommen.

Stellenmarkt
  1. IT-Berater bzw. IT-Beraterin (m/w/d) für ERP, Prozessautomation und 3rd-Level-Support
    Freie und Hansestadt Hamburg, Finanzbehörde, Landesbetrieb Kasse.Hamburg, Hamburg
  2. DevOps Engineer - Big Data (m/w/d)
    STRABAG AG, Köln, Stuttgart
Detailsuche

Die Schwachstelle liegt nicht in den Geräten selbst, sondern in der zur Verwaltung verwendeten App von LG. Die SmartThinq-App dient als zentrale Anlaufstelle für alle vernetzten LG-Produkte - vom Staubsauger Hom Bot bis hin zur Mikrowelle, der Tiefkühltruhe und dem Geschirrspüler.

Die Sicherheitsfirma Check Point schreibt in ihrer Analyse, dass ein Angreifer die App so manipulieren kann, dass er jeden beliebigen LG-Account damit übernehmen kann. Es ist also keinerlei Zugriff auf die Geräte des Nutzers erforderlich, es muss auch kein Man-in-the-Middle-Angriff auf die Verbindung des Opfers durchgeführt werden.

Der Aufwand dafür ist nicht gering, denn die App muss zunächst angepasst werden. Einerseits kann die App auf gerooteten Smartphones nicht genutzt werden, dieser "Schutz" kann jedoch nach Angaben von Check Point relativ einfach entfernt werden, indem einige Calls im Code entfernt werden. Außerdem wird der TLS-verschlüsselte Datenverkehr über einen Proxy geleitet, um den Datenverkehr zu analysieren. Nach der Anpassung der App muss diese neu kompiliert werden.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Zunächst scheint LG dabei alles richtig zu machen und verwendet sogar ein gepinntes Zertifikat. Das lässt sich nach Angaben von Check Point allerdings umgehen. Im nächsten Schritt folgt dann der eigentliche Angriff. Dabei werden zunächst die Anmeldedaten des Nutzers geprüft. Dazu legten die Forscher zunächst einen LG-Account mit ihrer eigenen Mailadresse an. Aus diesem Request wird dann eine Signatur abgeleitet und ein Token versendet. Dieses Token wird am Ende verwendet, um den Loginvorgang abzuschließen.

Die Authentifizierungsschritte sind austauschbar

Allerdings seien die Schritte nicht logisch aufeinander aufbauend gewesen. So hätte ein Angreifer zunächst ein Login mit dem eigenen Benutzernamen vornehmen können und dann in einem zweiten Schritt einen anderen Account-Identifier nutzen können, um den Vorgang abzuschließen. Dazu sei nur die E-Mailadresse des LG-Accounts des Opfers notwendig. Die Kenntnis des Passworts ist dazu nicht erforderlich.

Mit diesem Mechanismus hätte ein Angreifer dann Zugriff auf alle vom eigentlichen Benutzer registrierten Geräte. Weil der Staubsauger über eine eingebaute Kamera verfügt, wäre es möglich gewesen, den Live-Feed auszuspielen. Auch die Kontrolle über die Funktionen der anderen Geräte wäre dann über die gekaperte App möglich gewesen.

Der geschilderte Angriff hat relativ viele Voraussetzungen und dürfte daher nur in gezielten Angriffsszenarien relevant sein. LG hat die Schwachstelle mittlerweile gepatcht, Nutzer sollten die aktuellsten Updates einspielen. Die Fehler sind ab Version 1.9.23 behoben, das Update ist über die Appstores von Google und Apple zu beziehen. Auch die Firmware der Geräte selbst kann über die App aktualisiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
NUC11 Extreme (Beast Canyon) im Test
Intels Mini-PC ist ein Biest

Hohe Performance bei acht Litern Volumen: Der Beast Canyon macht seinem Namen alle Ehre, allerdings brüllt das NUC-System entsprechend.
Ein Test von Marc Sauter

NUC11 Extreme (Beast Canyon) im Test: Intels Mini-PC ist ein Biest
Artikel
  1. Microsoft Office: BGP-Fehler macht zahlreichen Telekom-Kunden Probleme
    Microsoft Office  
    BGP-Fehler macht zahlreichen Telekom-Kunden Probleme

    Zahlreiche Telekom-Kunden hatten am Morgen Probleme, sich etwa mit Microsofts Online-Diensten zu verbinden. Grund ist wohl ein BGP-Fehler.

  2. Erneuerbare Energien: Größte Gezeitenturbine geht vor Schottland in Betrieb
    Erneuerbare Energien
    Größte Gezeitenturbine geht vor Schottland in Betrieb

    Die Meere bieten viel Energie, die sich in elektrischen Strom wandeln lässt. In Schottland ist gerade ein neues Gezeitenkraftwerk ans Netz gegangen.

  3. Verschlüsselung: Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen
    Verschlüsselung
    Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen

    Eine mit Bitlocker verschlüsselte SSD mit TPM-Schutz lässt sich relativ einfach knacken. Ein Passwort schützt, ist aber nicht der Standard.

Dwalinn 27. Okt 2017

Das ist nicht gerade ein passendes Beispiel..... das Problem war schließlich das "Kluge...

das_mav 27. Okt 2017

Wo Smart drauf steht ist dumm drin und so ziemlich knapp über 100% aller relativen...

ObjectID 26. Okt 2017

Naja, ich schätze mal es wurden weitere Fehler in der App gemacht, dass man zum Beispiel...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 jetzt bestellbar • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen • Philips 65" Ambilight 679€ • Bosch Professional günstiger [Werbung]
    •  /