พบช่องโหว่ Mobile Apps ที่ทำให้แฮ็กเกอร์เข้าควบคุม LG Smart Devices ได้



นักวิจัยด้านความมั่งคงปลอดภัยจาก Checkpoint ค้นพบช่องโหว่ของ LGSmartThinQ แอปพลิเคชัน ที่ใช้ควบคุมอุปกรณ์ Smart Devices อย่าง เตาอบ เครื่องดูดฝุ่น เครื่องล้างจาน เครื่องซักผ้า เครื่องอบผ้า เครื่องปรับอากาศ และอุปกรณ์อื่นๆ ติดตามการแพตซ์และรายละเอียดช่วงโหว่ด้านล่าง

 

Credit: ShutterStock.com

แฮ็กเกอร์สามารถดักจับกระบวนกระยืนยันตัวตนระหว่าง SmartThinQ แอปพลิเคชันและเซิร์ฟเวอร์ของ LG ได้ ผลลัพธ์คือแฮ็กเกอร์จะสามารถเข้าควบคุมบัญชีของผู้ใช้งานและควบคุมอุปกรณ์ภายในบ้านได้ โดยแฮ็กเกอร์อาจจะเร่งไฟเตาอบ หรือปรับอุณภูมิภายในบ้าน หรือแอบดูกล้องภายในบ้านได้ ทาง Checkpoint แสดงวีดีโอตัวอย่างหลังการแฮ็กเข้าไปในเครื่องดูดฝุ่นที่มีกล้องแบบ On-board ในตัว สามารถรับชมได้ที่ https://youtu.be/BnAHfZWPaCs และช่องโหว่นี้ได้รับการแพตซ์แล้ว

ขั้นตอนการโจมตีมีรายละเอียดมีดังนี้
  1. แฮ็กเกอร์ต้องเข้าไป Recompile LG Application ให้ได้เพื่อที่จะหลบเลี่ยงการป้องกัน จึงจะสามารถดักจับข้อมูลระหว่างอุปกรณ์และเซิร์ฟเวอร์ได้
  2. แฮ็กเกอร์จะสร้างบัญชีปลอมขึ้นมา และเนื่องจากแฮ็กเกอร์สามารถควบคุมขั้นตอนล็อกอินได้ แฮ็กเกอร์จะใส่บัญชีของเหยื่อเข้าไปแทนบัญชีตนจากนั้นก็จะได้สิทธิ์ควบคุมอุปกณ์เหล่านั้นของเหยื่อ

โดยสามารถติดตามรายละเอียดเชิงลึกได้ที่ https://blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/

ที่มาของการตรวจพบครั้งนี้เนื่องจากเมื่อต้นปี LG ร่วมมือกับทีมงาน Check Point ปฏิบัติการหาสาเหตุเพื่อตรวจจับปัญหาด้านความมั่นคงปลอดภัยในอุปกรณ์ Smart Ecosystem เพื่อออกแพตซ์ได้อย่างทันท่วงที โดย LG ได้ออกแพตซ์แก้ไข SmartThinQ ปัญหาครั้งนี้แล้วในเวอร์ชัน 1.9.20 เมื่อวันที่ 29 กันยายน รวมถึง Firmware ของอุปกรณ์ที่ได้รับผลกระทบ

CR : https://www.techtalkthai.com/lgapp-vulnerbility-to-smart-device/
View : 1563
เราใช้คุกกี้เพื่อเพิ่มประสิทธิภาพในการให้บริการและปรับปรุงบริการ คุณสามารถเลือกตั้งค่าความยินยอมการใช้คุกกี้ได้ที่ปุ่ม "ตั้งค่าคุกกี้" Privacy Policy    ยอมรับทั้งหมด