Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.056 Produkten

Olivia von Westernhagen 79

"HomeHack"-Angriff macht aus smarten Staubsaugern Spionage-Tools

Check Point: "HomeHack"-Angriff macht aus LG-Staubsaugern Spionage-Tools

Im Video zeigt Check Point das Eigenheim eines Saugroboter-Besitzers aus der Perspektive eines Angreifers.

Bild: Check Point / YouTube

Friedliche Haushaltshelfer im Smart Home können unter bestimmten Voraussetzungen zu fiesen Spionen werden: Ein Proof-of-Concept-Angriff auf eine Steuerungs-App für smarte LG-Geräte offenbarte gravierende Sicherheitsprobleme. Updates stehen bereit.

Das Smart-Home-System SmartThinQ von LG wies bis vor kurzem mehrere Schwachstellen auf, die es ermöglicht haben, fremde User-Accounts zu übernehmen und Haushaltsgeräte fernzusteuern. Das geht aus einer Pressemitteilung des Sicherheitssoftware-Herstellers Check Point hervor. Dessen Team will die Schwachstellen in der SmartThinQ-App für Smartphones und in der SmartThinQ-Cloudanwendung entdeckt haben. Den korrespondierenden Angriff taufte Check Point auf den Namen HomeHack.

Anzeige

Wie ein Check Point-Vertreter gegenüber heise Security erklärte, erfordert der HomeHack-Angriff weder das Kapern eines fremden Smartphones noch den Zugriff auf das lokale WLAN des Opfers. Man benötige lediglich ein gerootetes Smartphone, auf dem die SmartThinQ-App mit einem gefälschten Nutzer-Account laufe. Die Installation auf gerooteten Geräten werde aus Sicherheitsgründen vom Hersteller unterbunden; dem Check Point-Team sei es jedoch gelungen, diesen Mechanismus zu umgehen. Unter Ausnutzung mehrerer Schwachstellen in der Kommunikation zwischen App und zentralem Backend habe es anschließend mittels Account-IDs auf Nutzerkonten zugreifen können – und zwar ohne Angabe eines Passworts.

Die Zugriffsrechte auf ein Benutzerkonto befähigen Angreifer laut Check Point zur Fernsteuerung sämtlicher vernetzter LG-Geräte im Haushalt wie Kühlschränke, Öfen, Waschmaschinen, Trockner oder Klimaanlagen. Der Hersteller demonstrierte in einem Video die Übernahme eines LG Hom-Bot Saugroboters. Dieser verfüge über eine eingebaute Videokamera mit Live-Stream-Funktion, die als Bestandteil des so genannten Home Guard eigentlich als Sicherheitsfeature gedacht sei. Tatsächlich eigne sie sich dadurch aber besonders gut zum Ausspionieren eines Haushalts. Check Point weist darauf hin, dass besagter Saugroboter allein im ersten Halbjahr 2016 über 400.000 Mal verkauft wurde.

Nach eigenen Angaben hat Check Point LG am 31. Juli über die Schwachstellen informiert. Das Unternehmen habe darauf "sehr verantwortungsbewusst" reagiert und gemeinsam mit dem Check-Point-Team Sicherheitsupdates entwickelt.

Die sichere Version 1.9.23 der SmartThinQ-App steht seit Ende September für SmartThinQ-Kunden im Google Play Store und in Apples App Store bereit. Alternativ können die Nutzer das Update auch direkt über die App unter dem Menüpunkt "Einstellungen" abrufen. Check Point empfiehlt außerdem ein Update der Smart Home-Geräte auf die aktuelle Firmware: Sofern ein Update verfügbar ist, erscheint auf dem SmartThinQ-Dashboard des jeweiligen Produkts ein Popup-Fenster mit den benötigten Informationen. (ovw)

79 Kommentare

Themen:

Anzeige
  1. Google Home in Deutschland: Eine ernstzunehmende Konkurrenz für Amazons Echo

    Google Home: Speech- und Ear-on

    Googles smarter Lautsprecher ist jetzt auch hierzulande verfügbar – und spricht Deutsch. c't hat den Assistant, den Funktionsumfang und den Sound unter die Lupe genommen.

  2. Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.

  3. iOS 11.2.1 stopft HomeKit-Remote-Lücke

    HomeKit-Remote-Lücke: iOS 11.2.1 bessert nach

    Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple hatte die Funktion wegen einer Schwachstelle abgeschaltet – ohne Nutzer sinnvoll darauf hinzuweisen.

  4. Rauchmelder mit HomeKit-Anbindung

    Rauchmelder mit HomeKit-Anbindung

    Der Zubehörspezialist NetAtmo hat mit dem Smart Smoke Alarm einen ersten Rauchmelder vorgestellt, der zu Apples Smart-Home-Standard kompatibel ist.

  1. Die 10 besten Smart-TV-Apps

    Auf deinem Smart TV solltest du einige Apps unbedingt installieren! Wir zeigen dir die 10 besten Apps für deinen Fernseher.

  2. Smart-TV-Sicherheit: So schützt du deinen Fernseher

    Wenn du mehr über die Sicherheit von Smart-TVs erfahren möchtest, dann lies unsere tipps+tricks zum Thema.

  3. Wie mache ich meinen Fernseher zum Smart-TV?

    Apple TV

    Du hast einen alten Fernseher, den du zum Smart-TV umrüsten möchtest? Dann lies dir unsere folgenden Tipps durch.

  1. Zäune am Himmel: Wie sich Firmen und Behörden gegen Drohnen wehren

    Drohne und Flugzeug

    Drohnen werden immer beliebter. In wenigen Jahren könnten mehr als eine Million unbemannter Flugobjekte durch Deutschlands Luftraum surren. Dies lässt jedoch auch das Gefahrenpotenzial wachsen - und den Markt der Drohnenjäger.

  2. Telekom-Chef hat das Jammern satt

    Timotheus Höttges, CEO der Deutschen Telekom AG (DTAG)

    Weniger Kritik, aber auch weniger Regulierung, ein breiteres Funkspektrum und viel mehr Intelligenz im Netz verlangt Deutsche-Telekom-Chef Timotheus Höttges.

  3. 4K-Beamer: Die Preise purzeln weiter

    Ultra-HD-Beamer Optoma UHD50

    Optoma hat auf der CES den 4K-DLP-Beamer UHD50 für unter 1500 US-Dollar sowie den UHD51 mit eingebautem Mediaplayer und Sprachsteuerung angekündigt, Benq den W1700.

  4. NetzDG: Facebook sperrt Karikaturisten Schwarwel

    NetzDG: Facebook sperrt Karikaturisten Schwarwel

    In seiner Zeichnung nahm Schwarwel die rassistische H&M-Werbung aufs Korn. Facebook und Instagram verstanden jedoch keinen Spaß.

Anzeige