Si chiama HomeHack e rappresenta, qualora ce ne fosse bisogno, l’ennesimo avvertimento sui rischi per la privacy e la sicurezza connessi all’uso dei gadget e degli elettrodomestici interconnessi nella Internet delle Cose (IoT). Le vittime, nel caso in oggetto, sono i proprietari di dispositivi LG pensati per essere controllati da remoto tramite la app SmartThinQ .
L’applicazione mobile del produttore sudcoreano, come ha scoperto Check Point , può essere compromessa in modo tale da permettere l’ abuso delle comunicazioni tra client e server della corrispondente piattaforma cloud di LG, violare l’account remoto dei clienti della corporation e penetrare negli ambienti domestici o negli uffici in cui sono utilizzati gli elettrodomestici vulnerabili .
I dispositive coinvolti dal problema includono frigoriferi, forni, lavastoviglie, lavatrici, asciugatrici, condizionatori e i robot per le pulizie della linea Hom-Bot. In quest’ultimo caso, Check Point ha dimostrato la pericolosità di HomeHack registrando un video catturato direttamente dalla telecamera integrata sul dispositivo.
A mitigare parzialmente il rischio per gli utenti c’è il fatto che la falla non è facile da sfruttare, poiché un tentativo di attacco richiede la ricompilazione della app lato-client per bypassare le misure di sicurezza, la creazione di un account LG fasullo per avviare il processo di login e la manipolazione del traffico per compromettere un account legittimo tramite l’indirizzo email della vittima. Per contro, una volta andato a segno, HomeHack darebbe al criminale accesso totale ai dispositivi SmartThinQ posseduti dall’utente.
Check Point ha scoperto la vulnerabilità HomeHack in estate comunicandone prontamente l’esistenza a LG, e la corporation ha risposto rilasciando una versione di SmartThinQ non vulnerabile : la 1.9.20 uscita il 29 settembre scorso (attualmente sugli store Apple e Google è disponibile la 1.9.24); con in più l’ update per i firmware dei dispositivi IoT interessati . Mai come in questo caso, l’ aggiornamento è più che raccomandato.
Alfonso Maruccia