Συνεχης ενημερωση

    Παρασκευή, 27-Οκτ-2017 10:15

    Hack μετατρέπει την ηλεκτρική σας σκούπα σε... κατάσκοπο

    Hack μετατρέπει την ηλεκτρική σας σκούπα σε... κατάσκοπο
    • Εκτύπωση
    • Αποθήκευση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Του Thomas Fox-Brewster

    Έχετε μία ηλεκτρική σκούπα ρομπότ να κόβει βόλτες στο σπίτι σας; Ήρθε η ώρα να ελέγξετε κατά πόσο είναι ασφαλής, ιδίως αν είναι μάρκας LG. Ερευνητές από την ισραηλινή εταιρεία Check Point εντόπισαν ένα hack στην εφαρμογή  LG SmartThinQ που τους επέτρεψε να ελέγξουν από απόσταση το μοντέλο Hom-Bot της LG και να χρησιμοποιήσουν την κάμερα της ηλεκτρικής σκούπας για να "κατασκοπεύσουν” οτιδήποτε βρισκόταν στο "οπτικό πεδίο” του ρομπότ. Οι ερευνητές δήλωσαν ότι θα μπορούσαν να παραβιαστούν επίσης και να τεθούν σε κίνδυνο τα ψυγεία, οι φούρνοι, τα πλυντήρια πιάτων, τα πλυντήρια ρούχων, τα στεγνωτήρια και τα κλιματιστικά - ήτοι οποιαδήποτε συσκευή ελέγχεται από την εφαρμογή της LG.
     
    Οι χρήστες θα πρέπει να προχωρήσουν στην ενημέρωση της εφαρμογής με την τελευταία έκδοση (1.9.23) μέσω του Google Play, του Apple App Store ή των ρυθμίσεων του LG SmartThinQ, αν δεν το έχουν κάνει ήδη. Αυτό θα αποτρέψει πιθανές παραβιάσεις από το hack, οι οποίες παρατηρήθηκαν για πρώτη φορά στην εφαρμογή της LG στις 31 Ιουλίου, πριν αυτή διορθωθεί στη νέα έκδοση SmartThinQ τον Σεπτέμβριο.

    Αλλά το hack αποδεικνύει πόσο εύκολο είναι να εκτεθεί ένα ολόκληρο σπίτι στους hackers μέσω μίας απλής αδυναμίας σε μία εφαρμογή για κινητά. Οι ερευνητές της Check Point έδειξαν πώς η σκούπα Hom-Bot, την οποία φαίνεται να έχουν αποκτήσει περισσότεροι από ένα εκατομμύριο χρήστες, θα μπορούσε να "αναγκαστεί” να αναμεταδώσει live εικόνα βίντεο σε hackers που θα κάθονται μπροστά από έναν υπολογιστή.

    Το hack χρειάζεται μόνο μία διεύθυνση email

    Η αδυναμία εντοπίζεται στον τρόπο με τον οποίο η εφαρμογή SmartThinQ επεξεργάζεται τα στοιχεία για να εισέλθει ο χρήστης, καθώς ένας hacker χρειάζεται να έχει μέτριες δεξιότητες για να βρει τη διεύθυνση email του θύματος. Για να καταλάβουμε τι πήγε στραβά, χρειάζεται να δούμε πώς χειρίζεται η εφαρμογή τη λειτουργία πιστοποίησης του χρήστη. Πρώτον, ο χρήστης συμπληρώνει τα στοιχεία για την είσοδό του στην εφαρμογή, τα οποία αξιολογεί ένας server. Δεύτερον, δημιουργείται μια "υπογραφή” βάσει του ονόματος χρήστη (για παράδειγμα της διεύθυνσης ηλεκτρονικού ταχυδρομείου). Τρίτον, δημιουργείται ένα διακριτικό πρόσβασης, το οποίο συνδυάζει τις πληροφορίες από την "υπογραφή” και το όνομα χρήστη. Το διακριτικό αυτό επέτρεπε την πρόσβαση στον λογαριασμό της εφαρμογής.

    Αλλά δεν υπήρχε εξάρτηση μεταξύ των πρώτων βημάτων για την είσοδο και των επόμενων δύο, σύμφωνα με την Check Point. Ένας hacker θα μπορούσε πρώτα να χρησιμοποιήσει το όνομα χρήστη για να ολοκληρώσει το πρώτο βήμα, αλλά στη συνέχεια, εφόσον είχε υποκλέψει τη ροή δεδομένων, να αλλάξει το όνομα χρήστη του θύματος για το δεύτερο και το τρίτο βήμα. Αυτό θα επέτρεπε στους hackers την επιτυχή πρόσβαση στον λογαριασμό του θύματος της παραβίασης.

    Πρόσφατα, οι ερευνητές της IOActive έδειξαν πώς τα ρομπότ που βοηθούν στις δουλειές του σπιτιού θα μπορούσαν να υποστούν παραβίαση και να γίνουν βίαια, ενώ το Forbes αποκάλυψε πολλά προβλήματα ιδιωτικότητας και ασφάλειας στα συστήματα συναγερμού στο σπίτι πέρυσι. Αν δεν ήταν ήδη αρκετά σαφές, τα έξυπνα σπίτια μπορούν, με λίγη προσπάθεια, να μετατραπούν σε κατάσκοποι.

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    Forbes 100+ The Greek List

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ

    Jeff Bezos

    Jeff Bezos

    113,0 δισ. $

    +1.331,3 εκ. $

    Bill Gates

    Bill Gates

    103,5 δισ. $

    +389,5 εκ. $

    Bernard Arnault

    Bernard Arnault

    94,7 δισ. $

    +1.680,1 εκ. $

    Warren Buffett

    Warren Buffett

    79,4 δισ. $

    +408,3 εκ. $

    Mark Zuckerberg

    Mark Zuckerberg

    69,0 δισ. $

    +709,1 εκ. $