LG smartThinkQの脆弱性により100万台のデバイスがスパイに利用される

IoTセキュリティニュース

living-room-2037945_1280.jpg

ホームハックと呼ばれる重大なセキュリティ上の欠陥により、100万台のLG smartThinQ と家庭用のIoTデバイスが危険にさらされています。ハッカーが容易に家庭内に侵入し、アカウントに接続している食器洗い機、掃除機、エアコン、洗濯機を含むLG製スマートデバイスを完全にコントロールできてしまうことが、チェックポイント社の調査員によって明らかになりました。

アカウントのログイン処理に脆弱性があり、ハッカーがランダムなユーザー名を入力して認証を通し、その後正規なアカウントに切り替えることを許可してしまいます。

この脆弱性を利用すると、ハッカーはデバイスを個別に狙うのではなく、すべてのデバイスとネットワークを制御するLGアカウントをハッキングするだけで、さまざまなリスクを引き起こすことができます。

すべてのデバイスを制御するアプリをハッキングし、調査員は偽のLGアカウントを作成することに成功しました。これにより、正規なLGアカウントを操作することができるため、ハッカーに使用されると、ユーザーのプライバシーが侵害され、デジタルデバイスを通して盗聴・盗撮などに悪用されてしまいます。

これを証明するため、調査員はLGのホームボットというロボット掃除機をハッキングし、その機能を操作して、不正な遠隔操作のリスクを実証しました。その様子を紹介した動画がこちらです。

LGは7月31日にモバイルアプリケーションとクラウドアプリケーションの脆弱性について報告を受け、チェックポイント社と協力して9月末に修正バッチを提供しました。

LG電子スマートディベロップメントチームマネージャー Koonseok Lee氏は、「9月29日より、更新プログラム1.9.20バージョンがセキュリティシステムで問題なく稼動している。 LG電子は、ソフトウェアセキュリティシステムの強化を続けるとともに、より安全で便利な電化製品を提供するために、チェックポイント社のようなサイバーセキュリティソリューションプロバイダと協力する予定だ」と述べました。

LG smartThinQをご利用の方は直ちに最新バージョン(1.9.20)に更新することをお勧めいたします。