Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Olivia von Westernhagen 79

"HomeHack"-Angriff macht aus smarten Staubsaugern Spionage-Tools

Check Point: "HomeHack"-Angriff macht aus LG-Staubsaugern Spionage-Tools

Im Video zeigt Check Point das Eigenheim eines Saugroboter-Besitzers aus der Perspektive eines Angreifers.

Bild: Check Point / YouTube

Friedliche Haushaltshelfer im Smart Home können unter bestimmten Voraussetzungen zu fiesen Spionen werden: Ein Proof-of-Concept-Angriff auf eine Steuerungs-App für smarte LG-Geräte offenbarte gravierende Sicherheitsprobleme. Updates stehen bereit.

Das Smart-Home-System SmartThinQ von LG wies bis vor kurzem mehrere Schwachstellen auf, die es ermöglicht haben, fremde User-Accounts zu übernehmen und Haushaltsgeräte fernzusteuern. Das geht aus einer Pressemitteilung des Sicherheitssoftware-Herstellers Check Point hervor. Dessen Team will die Schwachstellen in der SmartThinQ-App für Smartphones und in der SmartThinQ-Cloudanwendung entdeckt haben. Den korrespondierenden Angriff taufte Check Point auf den Namen HomeHack.

Kontozugriff ohne Passwort möglich

Wie ein Check Point-Vertreter gegenüber heise Security erklärte, erfordert der HomeHack-Angriff weder das Kapern eines fremden Smartphones noch den Zugriff auf das lokale WLAN des Opfers. Man benötige lediglich ein gerootetes Smartphone, auf dem die SmartThinQ-App mit einem gefälschten Nutzer-Account laufe. Die Installation auf gerooteten Geräten werde aus Sicherheitsgründen vom Hersteller unterbunden; dem Check Point-Team sei es jedoch gelungen, diesen Mechanismus zu umgehen. Unter Ausnutzung mehrerer Schwachstellen in der Kommunikation zwischen App und zentralem Backend habe es anschließend mittels Account-IDs auf Nutzerkonten zugreifen können – und zwar ohne Angabe eines Passworts.

Die Zugriffsrechte auf ein Benutzerkonto befähigen Angreifer laut Check Point zur Fernsteuerung sämtlicher vernetzter LG-Geräte im Haushalt wie Kühlschränke, Öfen, Waschmaschinen, Trockner oder Klimaanlagen. Der Hersteller demonstrierte in einem Video die Übernahme eines LG Hom-Bot Saugroboters. Dieser verfüge über eine eingebaute Videokamera mit Live-Stream-Funktion, die als Bestandteil des so genannten Home Guard eigentlich als Sicherheitsfeature gedacht sei. Tatsächlich eigne sie sich dadurch aber besonders gut zum Ausspionieren eines Haushalts. Check Point weist darauf hin, dass besagter Saugroboter allein im ersten Halbjahr 2016 über 400.000 Mal verkauft wurde.

SmartThinQ-Updates vereiteln den Angriff

Nach eigenen Angaben hat Check Point LG am 31. Juli über die Schwachstellen informiert. Das Unternehmen habe darauf "sehr verantwortungsbewusst" reagiert und gemeinsam mit dem Check-Point-Team Sicherheitsupdates entwickelt.

Die sichere Version 1.9.23 der SmartThinQ-App steht seit Ende September für SmartThinQ-Kunden im Google Play Store und in Apples App Store bereit. Alternativ können die Nutzer das Update auch direkt über die App unter dem Menüpunkt "Einstellungen" abrufen. Check Point empfiehlt außerdem ein Update der Smart Home-Geräte auf die aktuelle Firmware: Sofern ein Update verfügbar ist, erscheint auf dem SmartThinQ-Dashboard des jeweiligen Produkts ein Popup-Fenster mit den benötigten Informationen. (ovw)

79 Kommentare

Themen:

Anzeige
  1. Google Home in Deutschland: Eine ernstzunehmende Konkurrenz für Amazons Echo

    Google Home: Speech- und Ear-on

    Googles smarter Lautsprecher ist jetzt auch hierzulande verfügbar – und spricht Deutsch. c't hat den Assistant, den Funktionsumfang und den Sound unter die Lupe genommen.

  2. Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.

  3. Patchday: Google verarztet Android und stopft 102 Sicherheitslücken

    Patchday: Google verarztet Android und stopft 102 Sicherheitslücken

    Mit dem aktuellen Patchpaket für seine Nexus- und Pixel-Geräte schließt Google unter anderem mehr als ein Dutzend als kritisch eingestufte Schwachstellen. Besitzer von Geräten anderer Hersteller müssen wie gewohnt warten.

  4. Erpresser-Botschaft in Dauerschleife: Smart TV von LG mit Ransomware infiziert

    Erpresser-Botschaft in Dauerschleife: Smart TV von LG mit Ransomware infiziert

    Bisher warnten Sicherheitsforscher nur davor, dass Erpressungs-Trojaner auch Smart TVs mit Android-Betriebssystem befallen könnten. Nun ist es offensichtlich zu einer ersten dokumentierten Infektion gekommen.

  1. Die 10 besten Smart-TV-Apps

    Auf deinem Smart TV solltest du einige Apps unbedingt installieren! Wir zeigen dir die 10 besten Apps für deinen Fernseher.

  2. Wie mache ich meinen Fernseher zum Smart-TV?

    Apple TV

    Du hast einen alten Fernseher, den du zum Smart-TV umrüsten möchtest? Dann lies dir unsere folgenden Tipps durch.

  3. Brauche ich einen Virenscanner für mein Android-Smartphone?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten dir, ob du einen Virenscanner für Android brauchst.

  1. Terabyte-große Datencontainer entdeckt: US-Militär überwacht Soziale Netzwerke weltweit

    Terabyte-große Datenkontainer entdeckt: US-Militär überwacht Soziale Netzwerke weltweit

    Bei einem Routine-Scan fielen dem Security-Experten Chris Vickery riesige Daten-Container in die Hände, die das US-Militär zur Überwachung und Manipulation sozialer Netzwerke in der Amazon-Cloud gesammelt hat.

  2. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  3. Russland plant zweiten Raketenstart vom Weltraumbahnhof Wostotschny

    Russland plant zweiten Raketenstart vom Weltraumbahnhof Wostotschny

    Anderhalb Jahre nach dem ersten Start einer Rakete von dem neuen Weltraumbahnhof im Fernern Osten Russlands soll in Kürze ein weiterer Start folgen.

  4. Verhandlungen über Killerroboter in Genf

    Verhandlungen über Killerroboter in Genf

    Am Sitz der Vereinten Nationen in Genf wurde diese Woche ein Thema diskutiert, das sich für große Teile der Öffentlichkeit nach wie vor wie Science-Fiction anhört: tödliche autonome Waffensysteme oder Killerroboter.

Anzeige