Smart-Home-Lösung LG SmartThinQ gehackt

LG Home-Bot (Bild: LG Electronics)

Experten von Check Point konnten über eine HomeHack genannte Schwachstelle LGs Smart-Home-Lösung übernehmen und angeschlossene Geräte – auch einen Saugroboter mit Videokamera – kontrollieren. Die Lücke in der zur Steuerung der millionenfach verkauften LG-Appliance verwendeten SmartThinQ App ist inzwischen behoben.

Experten von Check Point Software ist es gelungen, die von LG Electronics angebotene Smart-Home-Lösung LG SmartThinQ erfolgreich anzugreifen. Sie nutzten dazu eine HomeHack genannte Schwachstelle in der SmartThinQ-App und der dahinterliegenden Cloud-Applikation aus. Dadurch konnten sie alle angeschlossenen Geräte kontrollieren, auch den mit einer Videokamera ausgestatteten Saugroboter LG Home-Bot.

LG Home-Bot (Bild: LG Electronics)

“Je mehr smarte Geräte wir in unserem Zuhause einsetzen, desto stärker fokussieren sich die Angreifer auf die Verwaltungsprogramme anstatt auf die einzelnen Endpunkte. Durch Apps haben die Cyberkriminellen wesentlich mehr Möglichkeiten, Nutzer zu attackieren und persönliche Daten abzufangen”, erklärt Oded Vanunu, Head of Products Vulnerability Research bei Check Point, in einer Pressemitteilung. “Die User müssen sich des Sicherheitsrisikos bewusst sein, das mit der Nutzung von IoT-Geräten einhergeht. Besonders wichtig ist zudem, dass die Hersteller von IoT-Geräten richtige Schutzmechanismen während der Entwicklung der Geräte und der Software integrieren.”

Die Check-Point-Experten nutzten Sicherheitsmängel in der SmartThinQ Mobile App aus, um einen gefälschten LG-Account zu erstellen. Damit konnten sie dann echte LG-Konten übernehmen. Mit diesen Zugängen konnten schließlich alle vernetzten Geräte im Haus der LG-Kunden ferngesteuert werden. Über die Möglichkeit informierten sie LG am 31. Juli. Die Schwachstellen wurden bis Ende September 2017 durch LG beseitigt. Die fehlerbereinigte Version 1.9.23 der LG SmartThinQ App kann im Google Play Store, Apples App Store oder über die LG SmartThinQ App unter “Einstellungen” heruntergeladen werden.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Das sollten Nutzer auch dringend tun. Denn mit den Zugriffsrechten auf das Benutzerkonto können Geräte wie Kühlschränke, Öfen, Waschmaschinen, Trockner oder Klimaanlagen durch Unbefugte ferngesteuert werden. Das gilt auch für den Saugroboter Home-Bot. Bei dem kommt noch dazu, dass er über eine integrierte Videokamera mit Live-Streaming-Funktion verfügt. Die ist eigentlich als Teil des LG-Angebots HomeGuard dazu gedacht, die Sicherheit der Nutzer zu erhöhen. Aufgrund der Sicherheitslücke “HomeHac”k lässt sie sich aber nun zum Spionagewerkzeug umfunktionieren.

LG ist nicht der einzige Anbieter, der Staubsaugerroboter mit integrierter Kamera im Angebot hat. Allerdings sind nicht alle Kameras in den Saugrobotern auch mit einer Live-Streaming-Funktion ausgerüstet. Beim Samsung SR8F30 dient die Kamera zum Beispiel lediglich der Kartierung des Raumes für den Roboter. Das ist bei den Roomba-Modellen von iRobot offiziell auch so. Der Hersteller hat aber im Sommer laut darüber nachgedacht, die so erstellten Pläne mit anderen Geräten zu teilen und möglicherweise sogar zu verkaufen.


Das Video zeigt, wie von den Experten von Check Point der Saugroboter Home-Bot samt integrierter Videokamera übernommen wird.