พบช่องโหว่ Mobile Apps ที่ทำให้แฮ็กเกอร์เข้าควบคุม LG Smart Devices ได้

นักวิจัยด้านความมั่งคงปลอดภัยจาก Checkpoint ค้นพบช่องโหว่ของ LGSmartThinQ แอปพลิเคชัน ที่ใช้ควบคุมอุปกรณ์ Smart Devices อย่าง เตาอบ เครื่องดูดฝุ่น เครื่องล้างจาน เครื่องซักผ้า เครื่องอบผ้า เครื่องปรับอากาศ และอุปกรณ์อื่นๆ ติดตามการแพตซ์และรายละเอียดช่วงโหว่ด้านล่าง

Credit: ShutterStock.com

แฮ็กเกอร์สามารถดักจับกระบวนกระยืนยันตัวตนระหว่าง SmartThinQ แอปพลิเคชันและเซิร์ฟเวอร์ของ LG ได้ ผลลัพธ์คือแฮ็กเกอร์จะสามารถเข้าควบคุมบัญชีของผู้ใช้งานและควบคุมอุปกรณ์ภายในบ้านได้ โดยแฮ็กเกอร์อาจจะเร่งไฟเตาอบ หรือปรับอุณภูมิภายในบ้าน หรือแอบดูกล้องภายในบ้านได้ ทาง Checkpoint แสดงวีดีโอตัวอย่างหลังการแฮ็กเข้าไปในเครื่องดูดฝุ่นที่มีกล้องแบบ On-board ในตัว สามารถรับชมได้ที่ https://youtu.be/BnAHfZWPaCs และช่องโหว่นี้ได้รับการแพตซ์แล้ว

ขั้นตอนการโจมตีมีรายละเอียดมีดังนี้
  1. แฮ็กเกอร์ต้องเข้าไป Recompile LG Application ให้ได้เพื่อที่จะหลบเลี่ยงการป้องกัน จึงจะสามารถดักจับข้อมูลระหว่างอุปกรณ์และเซิร์ฟเวอร์ได้
  2. แฮ็กเกอร์จะสร้างบัญชีปลอมขึ้นมา และเนื่องจากแฮ็กเกอร์สามารถควบคุมขั้นตอนล็อกอินได้ แฮ็กเกอร์จะใส่บัญชีของเหยื่อเข้าไปแทนบัญชีตนจากนั้นก็จะได้สิทธิ์ควบคุมอุปกณ์เหล่านั้นของเหยื่อ

โดยสามารถติดตามรายละเอียดเชิงลึกได้ที่ https://blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/

ที่มาของการตรวจพบครั้งนี้เนื่องจากเมื่อต้นปี LG ร่วมมือกับทีมงาน Check Point ปฏิบัติการหาสาเหตุเพื่อตรวจจับปัญหาด้านความมั่นคงปลอดภัยในอุปกรณ์ Smart Ecosystem เพื่อออกแพตซ์ได้อย่างทันท่วงที โดย LG ได้ออกแพตซ์แก้ไข SmartThinQ ปัญหาครั้งนี้แล้วในเวอร์ชัน 1.9.20 เมื่อวันที่ 29 กันยายน รวมถึง Firmware ของอุปกรณ์ที่ได้รับผลกระทบ



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google อัปเดตใช้ File Signature ตรวจสอบแอปพลิเคชันบน Android

Google เปลี่ยนวิธีการตรวจสอบความถูกต้องของแอปพลิเคชันบน Android ก่อนการติดตั้ง โดยทางบริษัทได้แก้ไข Header ของ APK ไฟล์เพื่อเพิ่ม metadata ข้อมูลที่เป็น Signature ของไฟล์ Application นั้นลงไป …

คนร้ายชาวยูเครน 4 คนถูกจับฐานตั้งเว็บปลอมเทรด Cryptocurrency

ตำรวจของยูเครเข้าจับชายอายุระหว่าง 20-26 ปี 4 คนผู้ต้องสงสัยข้อหาตั้ง 6 เว็บปลอมเพื่อขโมยเงินเทรด Cryptocurrency ของเหยื่อ โดยทางตำรวจกล่าวว่า “พวกเขามีทักษะเฉพาะในด้านการเขียนโปรแกรมและสร้างระบบบริหารจัดการเนื้อหา (CMS) ขั้นมาสำหรับไซต์เหล่านั้น” คนร้ายนั้นได้ใช้วิธีการสร้างความน่าเชื่อถือของเว็บด้วยการแสดงความเห็นบนโลกออนไลน์และให้คะแนนในด้านบวก