Check Point携手LG打造安全智慧家电
- 发布日期: 2017-11-03 浏览次数: 2809
内容
2017年11月2日--全球网路安全解决方案领导厂商Check Point Software Technologies Ltd. (NASDAQ股票代码:CHKP) 宣布,其安全研究人员已发现了一个漏洞HomeHack,可能造成上百万个LG SmartThinQ ? 智慧家电使用者面临未经授权、即可远端控制其智慧家电的风险。
Check Point 研究团队利用LG SmartThinQ行动与云端应用程式的漏洞,从远端登入SmartThinQ 云端应用程式,并管理使用者的合法LG 帐户,进而控制吸尘器及其内建摄影机。一旦攻击者接管使用者的LG 帐户,所有与该帐户连结的LG 装置或家电都可能连带被控制,例如扫地机器人、冰箱、烤箱、洗碗机、洗衣机、烘干机和空调等都无一幸免。
HomeHack 漏洞能够让攻击者透过Hom-Bot 扫地机器人上的摄影机,偷窥使用者家中的活动。作为居家安全守卫(HomeGuard Security) 功能的一部分,扫地机器人上的摄影机可传送即时影片到相关的LG SmartThinQ 应用程式。除此之外,根据使用者家中LG 家电的不同设定,攻击者甚至可以关闭冰箱、开启烤箱或电磁炉而导致火灾,或是对空调系统设定进行干扰。
Check Point 产品漏洞研究部门主管Oded Vanunu 表示:「随着现代人家中使用的智慧装置越来越多,骇客开始将攻击重心由个别装置,转移至控制装置网路的应用程式上。网路犯罪者有更多机会利用软体缺陷,侵入使用者家中的网路并存取敏感资料。因此,在使用物联网装置时,使用者必须注意安全与隐私风险;而物联网制造商在软体与装置的设计阶段,就必须纳入强大的安全机制,以保护智慧装置免受攻击。」
Check Point 研究人员利用SmartThinQ 行动应用程式的漏洞建立了一个假LG 帐户,并从该帐户接管使用者的合法LG 帐户,进而远端控制使用者的LG 智慧家电。Check Point依循揭露准则,于2017 年7 月31 日时向LG 回报了这项漏洞,而LG 也在9 月底时针对所回报的问题修复了SmartThinQ 应用程式。Oded Vanunu对此表示:「很高兴看到LG 以负责的态度,提供了优质的修补程式来阻止SmartThinQ 应用程式与装置的问题遭到利用。」
LG Electronics 智慧解决方案业务部门智慧开发团队经理Koonseok Lee指出:「LG的使命是改善全球消费者的生活。正因如此,我们不断扩展新一代智慧家电产品阵容,同时也将开发安全可靠的软体程式排在第一要务。今年8 月,LG与Check Point合作实施一套进阶的根本原因查寻流程,来侦测安全问题,并立即开始更新修补程式。自9 月29 日起,安全系统即顺利执行更新后的1.9.20 版,未发生任何问题。LG计画继续加强其软体安全系统,并与像Check Point 这样的网路安全解决方案供应商合作,提供更安全方便的家电设备。」
为保护其装置产品,SmartThinQ 行动应用程式与家电的使用者应前往LG 网站,将软体更新为最新版本。Check Point 也建议消费者采取以下步骤,避免自己的智慧装置与家用Wi-Fi 网路遭受入侵和远端控管供应商的可能性:
1.将LG SmartThinQ应用程式更新为最新版本(V1.9.23):您可以透过Google Play商店、Apple的App Store,或是透过LG SmartThinQ应用程式设定来更新该应用程式。
2.将智慧家用实体装置更新至最新版本:在LG SmartThinQ应用程式仪表板上按一下该智慧家用产品,即可进行更新(如有更新可用,就会弹出通知)
2.将智慧家用实体装置更新至最新版本:在LG SmartThinQ应用程式仪表板上按一下该智慧家用产品,即可进行更新(如有更新可用,就会弹出通知)
LG 的SmartThinQ? 智慧家电暨安全解决方案系列让使用者能直接在智慧型手机上监控及打理家务。在2016 年上半年,光是Hom-Bot 扫地机器人的销售量就超过40 万台。而2016 年共有8000 万台智慧家用装置销往世界各地,较2015 年成长了64%。
若要了解攻击可能的进行方式,请点击此处观看影片
若要深入了解这项漏洞,请造访Check Point部落格
透过社群媒体追踪Check Point动态:
Twitter:http://www.twitter.com/checkpointsw
Facebook:https://www.facebook.com/checkpointsoftware
部落格:http://blog.checkpoint.com
YouTube:http ://www.youtube.com/user/CPGlobal
LinkedIn:https://www.linkedin.com/company/check-point-software-technologies
关于Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. ( www.checkpoint.com )是全球领先的政府与企业网路安全解决方案供应商,能保护客户免于遭受网路攻击,对恶意软体、勒索软体与其他攻击类型的拦截率领先业界其他厂商。Check Point提供多层式安全架构来保护企业放置于云端、网路与行动装置上的资讯,以及最全面、最直观的单点控制安全管理系统。Check Point为超过10万家各种规模的组织提供防御措施。
Check Point Software Technologies Ltd. ( www.checkpoint.com )是全球领先的政府与企业网路安全解决方案供应商,能保护客户免于遭受网路攻击,对恶意软体、勒索软体与其他攻击类型的拦截率领先业界其他厂商。Check Point提供多层式安全架构来保护企业放置于云端、网路与行动装置上的资讯,以及最全面、最直观的单点控制安全管理系统。Check Point为超过10万家各种规模的组织提供防御措施。