Система безопасности LG IoT выявляет риски домашней автоматизации

IMG_3061Возмездие посудомоечных машин: система безопасности LG IoT выявляет риски домашней автоматизации
Обнаруженная на этой неделе уязвимость безопасности в SmartThinQ, технологии, рекламируемой компанией LG для автоматизации связи с ее диапазоном бытовых приборов и устройств, укрепили риски удаленного доступа к Интернету вещей (IoT), поскольку злоумышленники постепенно овладевают новыми методами нападения через умные устройства.

SmartThinQ от LG — это среда для общения между устройствами, которая позволяет им, помимо прочего, управляться приложениями смартфонов или голосом посредством интеграции с появляющимися устройствами умного дома, такими как Amazon Alexa и Google Home. Он был встроен в ряд холодильников LG, духовок, посудомоечных машин, очистителей воздуха, стиральных машин, сушилок и роботизированных пылесосов.

Слабые стороны основного программного обеспечения, которые были названы «HomeHack» и раскрыты исследователями Check Point Software Technologies для LG 31 июля, позволили злоумышленнику создать поддельную учетную запись LG, а затем использовать ее, чтобы взять под контроль учетную запись законного пользователя, которая обеспечит доступ ко всем его приборам.
Это, среди прочего, связано с безопасностью, так как, например, камера дистанционного мониторинга в автоматическом пылесосе может использоваться для наблюдения за домом или офисом.

Однако риск плохой защиты IoT не ограничивается взбунтовавшимися пылесосами: даже если домашние видеокамеры и другие приборы неуклонно исследованы на предмет уязвимости, риск уязвимости в медицинских устройствах или датчиках промышленного контроля могут потенциально вызвать травму или смерть — что позволило определить приоритетность необходимости срочных улучшений, поскольку IoT изменяет будущее безопасности устройства.

LG Electronics быстро отреагировала на предупреждение Check Point, отдаленно обновив то, что как менеджер команды разработчиков LG Кунсек Ли описал в заявлении «усовершенствованный процесс, предназначенный для обнаружения проблем безопасности». По словам Ли, исправленное и обновленное ядро SmartThinQ работает «плавно и без проблем».
Этот, казалось бы, гладкий процесс патчитнга противоречит опыту большинства производителей устройств IoT, которые, как известно, слабо защищают их устройства. Проблемы усугубляются с увеличением развития стандартов IoT, таких как MQTT, который улучшает взаимодействие между устройствами и открывает новые каналы для потенциального поглощения большого количества устройств.

«Интернет-подключенные устройства IoT теперь являются выбором злоумышленника для запуска DDoS-атак», — сказал в недавнем блоге Arbor Networks Стейнтор Бйарнасон, обвиняющий ограниченное хранилище, функциональность и снижение стоимости устройств в их эндемичной незащищенности.
Эта незащищенность сделала устройства IoT легкой добычей для таких нападений, как прошлогодний Mirai, ответвление Persirei, способное заразить 1250 различных моделей камер безопасности; и троян Windows под названием Windows Mirai Spreader, обнаруженный в феврале, который не только заразил компьютеры Windows, но и использовал их для сканирования корпоративных сетей на предмет уязвимых устройств IoT.

Запись опубликована в рубрике Корпорации и компании с метками , , , . Добавьте в закладки постоянную ссылку.