Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Olivia von Westernhagen 79

"HomeHack"-Angriff macht aus smarten Staubsaugern Spionage-Tools

Check Point: "HomeHack"-Angriff macht aus LG-Staubsaugern Spionage-Tools

Im Video zeigt Check Point das Eigenheim eines Saugroboter-Besitzers aus der Perspektive eines Angreifers.

Bild: Check Point / YouTube

Friedliche Haushaltshelfer im Smart Home können unter bestimmten Voraussetzungen zu fiesen Spionen werden: Ein Proof-of-Concept-Angriff auf eine Steuerungs-App für smarte LG-Geräte offenbarte gravierende Sicherheitsprobleme. Updates stehen bereit.

Das Smart-Home-System SmartThinQ von LG wies bis vor kurzem mehrere Schwachstellen auf, die es ermöglicht haben, fremde User-Accounts zu übernehmen und Haushaltsgeräte fernzusteuern. Das geht aus einer Pressemitteilung des Sicherheitssoftware-Herstellers Check Point hervor. Dessen Team will die Schwachstellen in der SmartThinQ-App für Smartphones und in der SmartThinQ-Cloudanwendung entdeckt haben. Den korrespondierenden Angriff taufte Check Point auf den Namen HomeHack.

Anzeige

Wie ein Check Point-Vertreter gegenüber heise Security erklärte, erfordert der HomeHack-Angriff weder das Kapern eines fremden Smartphones noch den Zugriff auf das lokale WLAN des Opfers. Man benötige lediglich ein gerootetes Smartphone, auf dem die SmartThinQ-App mit einem gefälschten Nutzer-Account laufe. Die Installation auf gerooteten Geräten werde aus Sicherheitsgründen vom Hersteller unterbunden; dem Check Point-Team sei es jedoch gelungen, diesen Mechanismus zu umgehen. Unter Ausnutzung mehrerer Schwachstellen in der Kommunikation zwischen App und zentralem Backend habe es anschließend mittels Account-IDs auf Nutzerkonten zugreifen können – und zwar ohne Angabe eines Passworts.

Die Zugriffsrechte auf ein Benutzerkonto befähigen Angreifer laut Check Point zur Fernsteuerung sämtlicher vernetzter LG-Geräte im Haushalt wie Kühlschränke, Öfen, Waschmaschinen, Trockner oder Klimaanlagen. Der Hersteller demonstrierte in einem Video die Übernahme eines LG Hom-Bot Saugroboters. Dieser verfüge über eine eingebaute Videokamera mit Live-Stream-Funktion, die als Bestandteil des so genannten Home Guard eigentlich als Sicherheitsfeature gedacht sei. Tatsächlich eigne sie sich dadurch aber besonders gut zum Ausspionieren eines Haushalts. Check Point weist darauf hin, dass besagter Saugroboter allein im ersten Halbjahr 2016 über 400.000 Mal verkauft wurde.

Nach eigenen Angaben hat Check Point LG am 31. Juli über die Schwachstellen informiert. Das Unternehmen habe darauf "sehr verantwortungsbewusst" reagiert und gemeinsam mit dem Check-Point-Team Sicherheitsupdates entwickelt.

Die sichere Version 1.9.23 der SmartThinQ-App steht seit Ende September für SmartThinQ-Kunden im Google Play Store und in Apples App Store bereit. Alternativ können die Nutzer das Update auch direkt über die App unter dem Menüpunkt "Einstellungen" abrufen. Check Point empfiehlt außerdem ein Update der Smart Home-Geräte auf die aktuelle Firmware: Sofern ein Update verfügbar ist, erscheint auf dem SmartThinQ-Dashboard des jeweiligen Produkts ein Popup-Fenster mit den benötigten Informationen. (ovw)

79 Kommentare

Themen:

Anzeige
  1. Setup-Probleme beim HomePod

    HomePod

    Mancher Nutzer von Apples smartem Lautsprecher kann die Einrichtung nicht beenden. Es erscheinen unklare Fehlermeldungen.

  2. Löchriger Plug-and-Play-Dienst "Smart Install" gefährdet Cisco-Switches

    Cisco

    Nicht zum ersten Mal warnen Sicherheitsforscher vor potenziellen Schwachstellen in Ciscos "Smart Install"-Software. Wer wirklich smart ist, sollte diese angesichts einer aktuellen Angriffswelle komplett deaktivieren.

  3. l+f: Rickrolling statt Gitarrensolo

    Ein aktueller Gitarrenverstärker von Fender kann viel, ist aber nicht wirklich smart.

  4. Project Things: Mozilla will das Internet der Dinge einfacher machen

    Grafik mit vernetztem Laptop, Glühbirne, Steckdose und Tablet

    Mozilla will es einfacher machen, das Smart Home zu verwalten: Mit der Software Things Gateway wird der Bastelrechner Raspberry Pi zum Steuerzentrum im intelligenten Heim.

  1. Die 10 besten Smart-TV-Apps

    Auf deinem Smart TV solltest du einige Apps unbedingt installieren! Wir zeigen dir die 10 besten Apps für deinen Fernseher.

  2. Smart-TV-Sicherheit: So schützen Sie Ihren Fernseher

    Wenn Sie mehr über die Sicherheit von Smart-TVs erfahren möchten, dann lesen Sie unsere tipps+tricks zum Thema.

  3. Wie mache ich meinen Fernseher zum Smart-TV?

    Apple TV

    Sie haben einen alten Fernseher, den Sie zum Smart-TV umrüsten möchten? Dann lesen Sie sich unsere folgenden Tipps durch.

  1. Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Wie blau sind die Meere, wie grün ist das Land? Ein neuer Satellit schließt daraus auf den Zustand der Erde. Doch der Start ist auch das Ende eines ungewöhnlichen russisch-europäischen Friedensprojektes.

  2. Honda Monkey ist zurück

    Honda Monkey

    Die Honda Monkey ist der schlagende Beweis dafür, dass Größe bei der Legendenbildung keine Rolle spielt. Die Fan-Szene, die sich um das Bonsai-Bike entwickelt hat, nahm vor allem in Japan, aber auch in Amerika und Europa absurde Züge an. Retro ist in, Honda legt seine Monkey neu auf

  3. Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Die neuen Datenschutzbestimmungen nehmen auch kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet? Die Uhr tickt. Bei Verstößen drohen empfindliche Bußgelder. Doch Grund zur Panik gibt es nicht, meinen Datenschützer.

  4. Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Mit Hilfe der Übernahme des österreichischen Unternehmens ZKW will LG eine weltweite Führungsrolle in der Beleuchtung für selbstfahrende Autos übernehmen.

Anzeige