Atacantes podrían secuestrar electrodomésticos inteligentes de LG

30/10/2017

Si tus dispositivos inteligentes son lo suficientemente inteligentes para hacerte la vida más fácil, entonces su comportamiento inteligente también puede ser explotado por ciberdelincuentes para invadir tu privacidad o espiarte si no se aseguran apropiadamente.

Investigaciones recientes conducidas por investigadores de seguridad de la frima ChekPoint resaltan preocupación alrededor de dispositivos inteligentes manufacturados por LG. 

Los investigadores de ChekcPoint descubrieron una vulnerabilidad de seguridad en dispositivos para el hogar LG SmartThinQ que les permitieron secuestrar dispositivos conectados a Internet como refrigeradores, hornos, lavaplatos, aire acondicionado, secadoras y lavadoras manufacturadas por LG.

Los atacantes pudieron tomar control remoto del Hom-Bot de LG, una aspiradora equipada con cámara, y accedieron al video para espiar todo lo disponible en la visión del dispositivo.

Este ataque ni siquiera requiere que el atacante y el dispositivo objetivo se encuentren dentro de la misma red.

Apodada Homehack, la vulnerabilidad reside en la aplicación web y la aplicación en la nube que utiliza para controlar los dispositivos para el hogar LG SmartThinQ, permitiendo a un atacante ganar control remotamente de cualquier aparato controlado por la aplicación.

Esta vulnerabilidad puede permitir a hackers conectarse remotamente en alguna aplicación en la nube y tomar control de la cuenta de la víctima, de acuerdo a los investigadores.

Mire el video demostrando el ataque Homehack:

Los investigadores demostraron los riesgos de esta vulnerabilidad tomando control de un Hom-Bot, el cual viene equipado con una cámara de seguridad y un detector de movimiento y que está en posesión de millones de usuarios.

El video publicado por ChekPoint muestra lo fácil que es secuestrar el aparato y utilizarlo para espiar a los usuarios en sus casas.

El problema reside en la manera en que la aplicación procesa el inicio de sesión, explotar esa vulnerabilidad solo requiere hackers con habilidades moderadas para saber el correo electrónico del objetivo, y nada más.

Dado que los atacantes pueden simplemente eludir el inicio de sesión de la víctima utilizando la falla Homehack no es necesario estar en la misma red que la víctima, y uno de los consejos primordiales es no utilizar las credenciales por defecto, y utilizar una más segura tampoco servirá de mucho en este caso.

Así es cómo funciona el ataque:

Investigadores han analizado el proceso de inicio de sesión de la aplicación y han encontrado que contiene las siguientes peticiones:

  1. Petición de autenticación – el usuario debe ingresar sus credenciales, las cuales son validadas en el servidor de la compañía.
  2. Petición de firma – genera una firma basada en los datos anteriores, esta firma no tiene nada que ver con la contraseña.
  3. Petición de token – un token de acceso para la cuenta de usuario es generado usando la firma de respuesta como cabecera y el nombre de usuario como parámetro.
  4. Petición de inicio de sesión – envía lo generado anteriormente para permitir al usuario iniciar sesión con la cuenta.

De cualquier manera, los investigadores encontraron que no hay dependencia entre el primer paso y los siguientes dos mencionados. 

Así, un atacante podría primero usar su nombre de usuario para pasar el paso uno, y después interceptar el tráfico para cambiar de nombre de usuario por el de al víctima para los pasos dos y tres, que podrían permitir efectivamente el acceso al atacante a la cuenta de la víctima.

Una vez que tiene el control de la cuenta objetivo, el atacante pude controlar cualquier dispositivo LG o electrodoméstico asociado con esa cuenta, incluyendo refrigeradores, hornos, lavaplatos, lavadoras y secadoras, aire acondicionado, y aspiradoras robot. 

Los atacantes pueden cambiar la configuración en los dispositivos vulnerados, o pueden simplemente apagarlos o encenderlos.

Medidas de precaución

Los investigadores publicaron la vulnerabilidad a LG el 31 de julio y el fabricante del dispositivo lanzó una actualización para resolver el problema en septiembre. 

Así que, si posees cualquier dispositivo LG SmartThinQ, se recomienda encarecidamente que actualices la aplicación móvil de LG SmartThinQ a la versión más reciente (1.9.23) a través de Google Play Store, Apple App Store o las configuraciones de LG SmartThinQ.