Check Point scopre vulnerabilità: a rischio app domotica

L’attacco hacker passa anche per smart tv, frigoriferi e aspirapolvere. C’è infatti una vulnerabilità nell’applicazione mobile e cloud Lg SmartThinkQ, l’app che permette di controllare da remoto gli elettrodomestici compatibili con la tecnologia sviluppata dal colosso coreano. A scoprirla è Check Point Software Technologies, e l’ha chiamata HomeHack: “Ha già portato i milioni di utenti dei dispositivi smart home Lg SmartThinQ a essere esposti a rischio di controllo remoto non autorizzato dei propri elettrodomestici”, spiega la società israeliana in una nota.

Le vulnerabilità nell’applicazione mobile e cloud, spiega Check Point, hanno permesso al team di ricerca di accedere in modalità remota all’applicazione cloud di SmartThinQ, entrare in maniera legittima nel profilo account Lg dell’utente e ottenere il controllo dell’aspirapolvere e della sua videocamera integrata. Una volta preso il controllo dell’account , qualsiasi dispositivo o apparecchio associato a tale account potrebbe essere controllato dall’hacker, compreso il robot aspirapolvere, frigoriferi, forni, lavastoviglie, lavatrici, asciugatrici e condizionatori d’aria.


“La vulnerabilità di HomeHack – fa come esempio Check Point – avrebbe potuto consentire ai criminali di spiare le attività casalinghe degli utenti tramite la videocamera presente nel robot aspirapolvere Hom-Bot, che invia video live all’applicazione LG SmartThinQ, presente all’interno della funzionalità HomeGuard Security. In base agli elettrodomestici Lg presenti in casa, gli hacker avrebbero potuto anche accendere o spegnere lavastoviglie o lavatrici”.

Al fine di proteggere i dispositivi interessati, Check Point “raccomanda ai possessori di prodotti e agli utenti dell’app mobile di controllare di aver aggiornato i propri sistemi con le ultime versioni disponibili sul sito di Lg. Check Point consiglia inoltre ai consumatori di adottare le seguenti operazioni per proteggere i propri elettrodomestici e le reti Wi-Fi domestiche da un eventuale intrusione o dal rischio di perdere il controllo dei propri device: aggiornare l’applicazione LG SmartThinQ all’ultima versione (V1.9.23), è possibile farlo tramite Google Play, l’App Store di Apple o la stessa app di LG SmartThinQ; aggiornare i dispositivi Smart Home alla versione più recente, è possibile farlo facendo clic sul prodotto all’interno della dashboard presente nell’applicazione SmartThinQ (se è disponibile un aggiornamento si riceve un popup)”.

La piattaforma LG SmartThinQ, ricorda ancora la nota dell’azienda di cybersecurity, consente agli utenti di monitorare e gestire le proprie case da uno smartphone. Solo le vendite dell’aspirapolvere Hom-Bot hanno superato le 400.000 unità nella prima metà del 2016. Complessivamente, nel 2016, 80 milioni di dispositivi smart home sono stati venduti in tutto il mondo, con un aumento del 64% rispetto al 2015.

“Poiché che in casa sono presenti sempre più dispositivi connessi al web, gli hacker stanno spostando la loro attenzione dai singoli dispositivi alle applicazioni che controllano reti di dispositivi. Ciò consente ai criminali informatici di avere ancora più opportunità per sfruttare le falle dei software, causare danni nelle case degli utenti e accedere ai loro dati sensibili”, spiega Oded Vanunu, head of products vulnerability research di Check Point. “Gli utenti devono essere consapevoli dei rischi legati alla sicurezza e alla privacy quando utilizzano dispositivi IoT ed è fondamentale che i produttori di device connessi alla rete investano sulla difesa di questi dispositivi dagli attacchi, inserendo un solido sistema di sicurezza durante la progettazione di software e dispositivi”.

“Check Point ha comunicato la vulnerabilità a Lg lo scorso 31 luglio 2017, seguendo le linee guida di divulgazione responsabili. L’azienda ha risolto i problemi presenti nell’applicazione SmartThinQ alla fine di settembre. Lg – continua Vanunu – ha saputo fornire responsabilmente una risposta di alto livello che ha bloccato immediatamente il possibile sfruttamento delle falle contenute nei dispositivi e nell’app SmartThinQ”.

“La nostra mission è quella di migliorare la vita delle persone in tutto il mondo, per questo motivo stiamo ampliando la nostra linea di elettrodomestici di nuova generazione, privilegiando anche lo sviluppo di programmi software sicuri e affidabili”, ha dichiarato il manager di Lg Koonseok Lee. “Ad agosto abbiamo collaborato con Check Point Software Technologies per eseguire un processo avanzato di ‘rooting’ in grado di rilevare i problemi di sicurezza e iniziare immediatamente ad aggiornare le patch di sicurezza. Il nuovo sistema di sicurezza, in vigore dallo scorso 29 settembre, ha eseguito la versione aggiornata 1.9.20 senza problemi. Lg Electronics prevede di continuare a rafforzare i propri sistemi di sicurezza e di lavorare con fornitori di soluzioni di sicurezza informatica come Check Point per offrire apparecchi più sicuri e più conformi”, ha concluso Lee.

Fonte