Breaking News

พบช่องโหว่ Mobile Apps ที่ทำให้แฮ็กเกอร์เข้าควบคุม LG Smart Devices ได้

นักวิจัยด้านความมั่งคงปลอดภัยจาก Checkpoint ค้นพบช่องโหว่ของ LGSmartThinQ แอปพลิเคชัน ที่ใช้ควบคุมอุปกรณ์ Smart Devices อย่าง เตาอบ เครื่องดูดฝุ่น เครื่องล้างจาน เครื่องซักผ้า เครื่องอบผ้า เครื่องปรับอากาศ และอุปกรณ์อื่นๆ ติดตามการแพตซ์และรายละเอียดช่วงโหว่ด้านล่าง

Credit: ShutterStock.com

แฮ็กเกอร์สามารถดักจับกระบวนกระยืนยันตัวตนระหว่าง SmartThinQ แอปพลิเคชันและเซิร์ฟเวอร์ของ LG ได้ ผลลัพธ์คือแฮ็กเกอร์จะสามารถเข้าควบคุมบัญชีของผู้ใช้งานและควบคุมอุปกรณ์ภายในบ้านได้ โดยแฮ็กเกอร์อาจจะเร่งไฟเตาอบ หรือปรับอุณภูมิภายในบ้าน หรือแอบดูกล้องภายในบ้านได้ ทาง Checkpoint แสดงวีดีโอตัวอย่างหลังการแฮ็กเข้าไปในเครื่องดูดฝุ่นที่มีกล้องแบบ On-board ในตัว สามารถรับชมได้ที่ https://youtu.be/BnAHfZWPaCs และช่องโหว่นี้ได้รับการแพตซ์แล้ว

ขั้นตอนการโจมตีมีรายละเอียดมีดังนี้
  1. แฮ็กเกอร์ต้องเข้าไป Recompile LG Application ให้ได้เพื่อที่จะหลบเลี่ยงการป้องกัน จึงจะสามารถดักจับข้อมูลระหว่างอุปกรณ์และเซิร์ฟเวอร์ได้
  2. แฮ็กเกอร์จะสร้างบัญชีปลอมขึ้นมา และเนื่องจากแฮ็กเกอร์สามารถควบคุมขั้นตอนล็อกอินได้ แฮ็กเกอร์จะใส่บัญชีของเหยื่อเข้าไปแทนบัญชีตนจากนั้นก็จะได้สิทธิ์ควบคุมอุปกณ์เหล่านั้นของเหยื่อ

โดยสามารถติดตามรายละเอียดเชิงลึกได้ที่ https://blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/

ที่มาของการตรวจพบครั้งนี้เนื่องจากเมื่อต้นปี LG ร่วมมือกับทีมงาน Check Point ปฏิบัติการหาสาเหตุเพื่อตรวจจับปัญหาด้านความมั่นคงปลอดภัยในอุปกรณ์ Smart Ecosystem เพื่อออกแพตซ์ได้อย่างทันท่วงที โดย LG ได้ออกแพตซ์แก้ไข SmartThinQ ปัญหาครั้งนี้แล้วในเวอร์ชัน 1.9.20 เมื่อวันที่ 29 กันยายน รวมถึง Firmware ของอุปกรณ์ที่ได้รับผลกระทบ




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่