这是美国热播电视剧《黑客军团》出现过的场景
令人震惊的是这样的画面有可能变成现实……
10月26日,安全公司Check Point在官方网站发文称,发现韩国LG公司的SmartThinQ的手机应用程序存在漏洞。利用这一被命名为“HomeHack”的漏洞,黑客可以登录到LG用户的SmartThinQ帐户,并且远程控制连接到该帐户的设备。
该团队公布的一段视频显示,LG的Hom-Bot扫地机器人遭到攻击后,其内置摄像头的使用权限完全被控制,黑客甚至可以调整摄像头角度,偷偷录制用户家中的视频。
扫地机器人监控视角。
智能家电一旦遭到黑客攻击
陌生人也能时刻监视你家
据记者了解,LG在2011年推出了SmartThinQ家电系列,允许用户通过远程控制应用程序来随时随地监控家中情况。这些智能家电包括洗碗机、冰箱、微波炉、烘干机和扫地机器人。
然而,一旦智能家居控制中心遭到黑客攻击,那么陌生人也能时刻监视你的家庭生活。
Check Point安全团队介绍,利用“HomeHack”漏洞发起攻击,首先需要在客户端重新编译LG应用程序,以绕过安全保护。然后创建一个假LG帐户来启动登录过程。通过操纵登录过程后,黑客便可入侵受害者的帐户,并控制用户拥有的所有LG SmartThinQ设备。
极棒实验室(GeekPwnLab)总监王海兵告诉南都记者,这个攻击是利用了登录过程的逻辑漏洞,可以冒充他人的身份。一旦攻破后,通过用户身份可进行的操作,都能够被冒充的攻击者实施。
你家中的扫地机器人
记者了解到,该漏洞影响的范围可能不在少数。据悉,Hom-Bot扫地机器人的累计销量已突破百万大关。仅2016上半年,韩国就售出40万台。目前这款产品在国内也有售。天猫和京东等购物平台上,其产品介绍称,带有天窗摄像头的扫地机器人,能准确记忆房屋构造,可通过高清摄像头和红外传感器导航系统进行快速和高效的清扫。
今年7月,Check Point将这一漏洞提交给了LG。LG方面表示已于9月底完成了修复,并建议用户尽快通过Google Play商店和Apple的AppStore,把LG SmartThinQ应用程序更新到最新版本(V1.9.23)。
连上Wi-Fi的智能家居
成为黑客入侵目标
值得一提的是,记者随机采访几位曾购买过扫地机器人的用户,不少人均表示很少考虑设备的安全和隐私问题。有的甚至对此表示诧异,“隐私?不需要吧,就是一个扫地的。”
然而有专家指出,类似智能洗碗机、摄像头、路由器等设备,鲜少有人关心其安全性,却经常被黑客利用。这些智能家用电器可能本身没有存储隐私信息,但因为连接着家里的Wi- Fi,黑客就可以侵入。换而言之,当智能家居连上网络,意味着设备更容易遭到攻击。
Check Point安全团队也指出,“HomeHack”漏洞突出显示了智能家居设备存在安全隐患。随着越来越多的智能设备走入千家万户,黑客可能会把攻击重点从单个设备转移到控制智能设备,包括监控所有者和用户、窃取数据,或利用这些设备用作进一步的攻击,比如发送垃圾邮件,拒绝设备提供服务、传播恶意软件等等。
物联网时代厂商应提高安全意识
王海兵告诉记者,物联网时代,越来越多的设备联网了。但有不少厂商对于安全问题并没有重视,很多的设备存在安全隐患。他呼吁政府主管部门和业界一起推出物联网产品的安全标准和规范,督促企业实施。
同时,王海兵建议用户使用类似设备时,应该及时修复补丁,不要随意连接免费Wi-Fi。
