全球性网络安全解决方案提供商Check Point以色列捷邦安全软件科技有限公司(NASDAQ: CHKP)日前宣布,其安全研究人员已经发现一个安全漏洞HomeHack,该漏洞使数百万LG SmartThinQ®智能家用设备用户面临未经授权远程控制其 SmartThinkQ 家用设备的风险。
LG SmartThinkQ 移动应用和云应用中的漏洞使得 Check Point 研究团队能够远程登录 SmartThinQ 云应用,接管用户的合法 LG 帐号,并获得对真空吸尘器及其集成摄像机的控制权限。一旦控制特定用户的 LG 帐户后,与该帐户相关联的任何 LG 装置或设备都可以由攻击者控制,包括真空扫地机器人、冰箱、烤箱、洗碗机、洗衣机、烘干机以及空调。
HomeHack 漏洞使攻击者可以通过 Hom-Bot 真空扫地机器人的摄像机窥探用户的家庭活动。作为 HomeGuard Security 功能的一部分,该摄像机可将实时视频发送到相关的 LG SmartThinQ 应用程序。根据用户家中 LG 设备的不同,攻击者还可能打开或关闭洗碗机或洗衣机。
Check Point 产品漏洞研究主管 Oded Vanunu 表示:“随着越来越多的智能设备应用到家庭中,黑客将攻击重心从单个设备转移到控制设备网络的应用程序上。这使网络犯罪分子有更多机会利用软件缺陷,入侵用户的家庭网络并访问其敏感数据。使用 IoT 设备时,用户需要了解安全和隐私风险。另外,IoT 制造商在设计软件和设备时,必须注重通过实施强大的安全措施,保护智能设备免受攻击。”
SmartThinQ 移动应用程序中的漏洞使 Check Point 研究人员能够创建一个伪造的 LG 帐户,然后利用该帐户接管用户的合法 LG 帐户,从而进一步远程控制用户的智能 LG 设备。Check Point 遵循负责任的披露原则,在 2017 年 7 月 31 日向 LG 通报了存在的漏洞。LG 回应称将于 9 月底在 SmartThinQ 应用程序中修复所报告的问题。“值得庆幸的是,LG 非常负责任地提供了一个高质量的修补,以阻止黑客可能利用其 SmartThinQ 应用程序和设备中存在的问题,”Oded Vanunu 说。
LG Electronics 智能解决方案业务部门智能开发团队经理 Koonseok Lee 表示:“作为 LG Electronics 丰富全球消费者生活使命的一部分,我们不断扩展下一代智能家用产品系列,同时优先考虑开发出安全可靠的软件程序。8 月份,LG Electronics 与 Check Point Software Technologies 合作,共同执行一个先进的根本原因查找流程以检测安全问题,并立即开始更新补丁程序。9 月 29 日起,该安全系统一直顺畅运行更新的 1.9.20 版本,未发生任何问题。LG Electronics 计划继续加强软件安全系统,并与 Check Point 等网络安全解决方案提供商通力合作,以提供更安全、更便利的设备。”
为保护用户设备,LG SmartThinQ 移动应用程序和设备的用户应确保从 LG 网站更新到最新软件版本。Check Point 还建议消费者采取以下步骤保护其智能设备和家庭 Wi-Fi 网络,避免可能的网络入侵和远程设备接管:
1.将 LG SmartThinQ 应用程序更新至最新版本 (V1.9.23):您可以通过 Google Play 商店、Apple 的 App Store 或 LG SmartThinQ 应用程序设置更新该应用程序。
2.将智能家用物理设备更新至最新版本:您可以在 SmartThinQ 应用程序控制台下单击该智能家用产品进行更新(如果有更新可用,您将收到弹窗提醒)
LG 的 SmartThinQ® 系列智能设备和安全解决方案使用户能够通过智能手机监控和维护其家用产品。2016 年上半年,Hom-Bot 真空扫地机器人的销量超过 400,000 台。2016 年,智能家用设备的全球销售量达8,000 万台,较 2015 年增长 64%。
单击此处观看漏洞攻击演示视频
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面