HomeHack: Tu aspirador inteligente podría espiarte

Check Point, el mayor proveedor mundial especializado en seguridad, ha anunciado que sus investigadores de seguridad han descubierto HomeHack, una vulnerabilidad que ha expuesto a millones de usuarios de los dispositivos domésticos inteligentes LG al riesgo de control remoto no autorizado de sus electrodomésticos SmartThinQ.

Las vulnerabilidades de las aplicaciones móvil y cloud LG SmartThinQ permitieron al equipo de investigación de Check Point iniciar sesión de forma remota en la app en la nube, hacerse con la cuenta LG del usuario legítimo y obtener el control de su aspiradora inteligente y su cámara de vídeo integrada. Una vez hecho esto, cualquier dispositivo LG conectado a la red de la víctima podría ser controlado por el atacante – incluyendo robots aspiradores, refrigeradores, hornos, lavavajillas, lavadoras, secadoras y aire acondicionado.

La vulnerabilidad HomeHack dio a los ciberdelincuentes la oportunidad de espiar a los usuarios en sus casas a través de la cámara de vídeo del robot aspirador Hom-Bot, que envía vídeo en vivo a la aplicación LG SmartThinQ como parte de su función de seguridad HomeGuard. Dependiendo de los electrodomésticos LG en la casa del propietario, los atacantes también pueden apagar o encender su lavavajillas o lavadora.

“A medida que utilicemos más dispositivos inteligentes en nuestros hogares, los ciberdelincuentes pasarán de atacar los objetos uno por uno a hackear las aplicaciones que los controlan. Esto proporciona a los ciberdelincuentes más oportunidades de explotar los fallos del software, causar interrupciones en los hogares de los usuarios y acceder a sus datos confidenciales”, explica Oded Vanunu, director de investigación de vulnerabilidades de productos de Check Point. “Los usuarios deben ser conscientes de los riesgos de seguridad y privacidad al utilizar sus dispositivos IoT, y es esencial que los fabricantes se centren en la protección de los objetos inteligentes contra ataques implementando una seguridad robusta desde el diseño del software y los aparatos”.

Las vulnerabilidades de la aplicación móvil SmartThinQ permitieron a los investigadores de Check Point crear una cuenta LG falsa, y luego usarla para controlar la cuenta LG del usuario legítimo, y a su vez obtener control remoto de los dispositivos LG inteligentes del usuario. Check Point reveló la vulnerabilidad a LG el 31 de julio de 2017, siguiendo las directrices de divulgación responsable. LG respondió solucionando los problemas señalados en la aplicación SmartThinQ a finales de septiembre. “Afortunadamente, LG proporcionó una solución de calidad para detener la posible explotación de los problemas en sus dispositivos y aplicaciones SmartThinQ”, declara Vanunu.

“Como parte de la misión de LG Electronics para mejorar las vidas de los consumidores de todo el mundo, estamos expandiendo nuestra nueva generación de electrodomésticos inteligentes, al tiempo que damos prioridad al desarrollo de programas de software seguros y confiables», comenta Koonseok Lee, Manager del Equipo de Desarrollo Inteligente, Smart Solution BD de LG Electronics. “En agosto, LG Electronics se asoció con Check Point Software Technologies para ejecutar un proceso avanzado de rooting diseñado para detectar problemas de seguridad e inmediatamente comenzó a parchear los programas. A partir del 29 de septiembre, el sistema de seguridad ha estado ejecutando la versión 1.9.20 actualizada sin problemas. LG Electronics planea seguir fortaleciendo sus sistemas de seguridad de software, así como trabajar con proveedores de soluciones de ciberseguridad como Check Point para proporcionar dispositivos más seguros y convenientes».

Para proteger sus dispositivos, los usuarios de la app y los dispositivos móviles LG SmartThinQ deben asegurarse de actualizarlos a las últimas versiones de software, disponibles en la web de LG. Check Point también aconseja a los consumidores que tomen las siguientes medidas para proteger sus dispositivos inteligentes y redes Wi-Fi domésticas contra la intrusión y la posibilidad de que los dispositivos remotos se apoderen de ellos:

1. Actualice la aplicación LG SmartThinQ a la última versión (V1.9.23) a través de Google Play, la App Store de Apple o en las opciones de la propia app.

2. Actualice sus dispositivos inteligentes para el hogar a su última versión, haciendo clic en el producto en el panel de control de la aplicación smartThinQ (si hay una actualización disponible, recibirá una alerta emergente).