พบช่องโหว่ Mobile Apps ที่ทำให้แฮ็กเกอร์เข้าควบคุม LG Smart Devices ได้

นักวิจัยด้านความมั่งคงปลอดภัยจาก Checkpoint ค้นพบช่องโหว่ของ LGSmartThinQ แอปพลิเคชัน ที่ใช้ควบคุมอุปกรณ์ Smart Devices อย่าง เตาอบ เครื่องดูดฝุ่น เครื่องล้างจาน เครื่องซักผ้า เครื่องอบผ้า เครื่องปรับอากาศ และอุปกรณ์อื่นๆ ติดตามการแพตซ์และรายละเอียดช่วงโหว่ด้านล่าง

Credit: ShutterStock.com

แฮ็กเกอร์สามารถดักจับกระบวนกระยืนยันตัวตนระหว่าง SmartThinQ แอปพลิเคชันและเซิร์ฟเวอร์ของ LG ได้ ผลลัพธ์คือแฮ็กเกอร์จะสามารถเข้าควบคุมบัญชีของผู้ใช้งานและควบคุมอุปกรณ์ภายในบ้านได้ โดยแฮ็กเกอร์อาจจะเร่งไฟเตาอบ หรือปรับอุณภูมิภายในบ้าน หรือแอบดูกล้องภายในบ้านได้ ทาง Checkpoint แสดงวีดีโอตัวอย่างหลังการแฮ็กเข้าไปในเครื่องดูดฝุ่นที่มีกล้องแบบ On-board ในตัว สามารถรับชมได้ที่ https://youtu.be/BnAHfZWPaCs และช่องโหว่นี้ได้รับการแพตซ์แล้ว

ขั้นตอนการโจมตีมีรายละเอียดมีดังนี้
  1. แฮ็กเกอร์ต้องเข้าไป Recompile LG Application ให้ได้เพื่อที่จะหลบเลี่ยงการป้องกัน จึงจะสามารถดักจับข้อมูลระหว่างอุปกรณ์และเซิร์ฟเวอร์ได้
  2. แฮ็กเกอร์จะสร้างบัญชีปลอมขึ้นมา และเนื่องจากแฮ็กเกอร์สามารถควบคุมขั้นตอนล็อกอินได้ แฮ็กเกอร์จะใส่บัญชีของเหยื่อเข้าไปแทนบัญชีตนจากนั้นก็จะได้สิทธิ์ควบคุมอุปกณ์เหล่านั้นของเหยื่อ

โดยสามารถติดตามรายละเอียดเชิงลึกได้ที่ https://blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/

ที่มาของการตรวจพบครั้งนี้เนื่องจากเมื่อต้นปี LG ร่วมมือกับทีมงาน Check Point ปฏิบัติการหาสาเหตุเพื่อตรวจจับปัญหาด้านความมั่นคงปลอดภัยในอุปกรณ์ Smart Ecosystem เพื่อออกแพตซ์ได้อย่างทันท่วงที โดย LG ได้ออกแพตซ์แก้ไข SmartThinQ ปัญหาครั้งนี้แล้วในเวอร์ชัน 1.9.20 เมื่อวันที่ 29 กันยายน รวมถึง Firmware ของอุปกรณ์ที่ได้รับผลกระทบ



About nattakon

Check Also

Avira เปิดตัว SafeThings ปกป้องอุปกรณ์ IoT บนระบบเครือข่าย

Avira ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดัง เปิดตัวโซลูชันใหม่ชื่อว่า SafeThings ซึ่งเป็นซอฟต์แวร์สำหรับให้ ISP และผู้ผลิต Router นำไปใช้เพื่อปกป้องลูกค้าของตนจากอุปกรณ์ IoT ที่มีความมั่นคงปลอดภัยต่ำ

WordPress มัลแวร์ ‘Wp-Vcd’ กลับมาโจมตีอีกครั้งแล้ว

คงจะปฏิเสธไม่ได้ว่า WordPress เป็นเครื่องมือยอดฮิตที่เปิดโอกาสให้ผู้คนที่สนใจสร้างเว็บเป็นของตนเองพัฒนาเว็บได้อย่างง่าย แม้ไม่มีทักษะด้านเขียนโปรแกรมเลยก็ตาม อย่างไรก็ดีมันก็ยังมีภัยร้ายซ่อนอยู่ ผู้ใช้งานจึงควรระมัดระวังตัวเพิ่มขึ้นเนื่องจากมัลแวร์ wp-vcd กลับมาโจมตีผู้ใช้งานอีกครั้งหนึ่ง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ปกติของ WordPress จากนั้นจะเพิ่มผู้ใช้งานสิทธิ์ผู้ดูแลอย่างลับๆ และยกระดับการเข้าควบคุมเว็บที่ติดมัลแวร์ตัวนี้ นั่นอาจทำให้ธุรกิจของคุณได้รับผลกระทบอย่างไม่คาดคิด