Sicherheitslücke bei LG Spähangriff per Saugroboter

Sicherheitsexperten haben eine Schwachstelle in der Smart-Home-Anwendung des Elektronikherstellers LG entdeckt. Dank der Lücke konnten sie einen Staubsauger zum Spionagewerkzeug machen.

HomBot von LG: Hackern ist es gelungen, über eine Schwachstelle die Kamera des Staubsaugers anzuzapfen
LG

HomBot von LG: Hackern ist es gelungen, über eine Schwachstelle die Kamera des Staubsaugers anzuzapfen

Von


Eigentlich ist die eingebaute Kamera im HomBot von LG dafür gedacht, dass Nutzer überprüfen können, ob daheim alles in Ordnung ist. Mit einer App können Käufer den Saugroboter fernsteuern, dazu bekommen sie Live-Kamerabilder aus seiner Sicht auf ihr Smartphone-Display. Hackern eines Sicherheitskonzerns ist es nun aber gelungen, den HomBot als Spionagewerkzeug zu missbrauchen - als Möglichkeit, fremden Wohnungen auszuspähen.

Mitarbeiter der Firma Check Point haben für den Spähangriff nach eigenen Angaben eine Schwachstelle in der Smart-Home-Anwendung SmartThinQ ausgenutzt. Mit dieser Software steuern weltweit mehrere Millionen Kunden ihre Haushaltsgeräte per Smartphone und können über das Heimnetzwerk auch aus der Ferne darauf zugreifen.

Einer Check-Point-Mitteilung zufolge wurde der Saugroboter gekapert, indem ein gefälschtes Profil erstellt wurde. Danach wurde die LG-Cloud angezapft und die Kontrolle über Accounts anderer Nutzer übernommen. Damit sei es dann möglich gewesen, die Geräte der Kunden aus der Ferne zu kontrollieren, heißt es.

Die Hacker hätten demnach nicht nur den Saugroboter manipulieren können, sondern auch die Betriebsdauer von Kühlschränken auslesen und Waschmaschinen genau wie Klimaanlagen kontrollieren.

Auf Anfrage von SPIEGEL ONLINE bestätigte ein LG-Sprecher die Schwachstelle: "Es gab eine Lücke, wir haben das Problem mittlerweile gelöst." Mit den aktuellen Updates sei die Sicherheitslücke behoben. "Wir empfehlen unseren Kunden, auf jeden Fall die neue Software zu installieren", sagt der Sprecher.

Auch Check Point rät Kunden, möglichst bald alle LG-Apps zu aktualisieren und die Firmware der Haushaltsgeräte auf den neuesten Stand zu bringen. In Deutschland haben mehrere tausend Kunden vernetzte LG-Geräte bei sich in der Wohnung stehen, den Saugroboter benutzen hierzulande dem Hersteller zufolge aber nur wenige Hundert Menschen.

Der Fall zeigt, dass bei Smart-Home-Anwendungen ein gewisses Risiko besteht. Experten warnen immer wieder davor, dass vernetzte Haushaltsgeräte nicht nur bequem zu bedienen sind, sondern eben auch missbraucht werden können. Smarte Gadgets können ein Einfallstor ins private WLAN sein und Wohnzimmer-Assistenten als Wanze missbraucht werden. Der Laie ist oft machtlos und muss sich auf die Sicherheitsvorkehrungen der Hersteller verlassen.



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
schlauchschelle 26.10.2017
1. Das sind m.E.
keine "Sicherheitslücken" oder "Daten / Programmierpannen", das ist gewollt. Wir sollen uns tonnenweise diesen ganzen Smartkram kaufen / nutzen, dazu smarte Strom / Gas / Wasserzähler und intelligente "smarte" Haus & Türsicherungsanlagen, damit wir 1. rund um die Uhr Beobacht- und Überwachbar sind und man uns 2. im Falle von Missliebigkeit "den Saft" abdrehen kann, bis man wieder "in's System passt"...
ArgloserImInland 26.10.2017
2. IoT - Internet of Troubles
Je mehr Geräte Daten sammeln und diese weitergeben oder sie von außen abgegriffen werden, desto größer die Wahrscheinlichkeit, dass mit ihnen Unfug getrieben werden kann. Oft weiß der Käufer nicht einmal, welche Funktionen sich in dem Gerät befinden und wie diese ausgenutzt werden können. Die einzige Möglichkeit, das zu verhindern ist, eine sehr strenge Kontrolle: 1. Offenlegung der Software der Hersteller 2. Haftung des Herstellers für Missbrauch 3. Strafen, die den Hersteller schmerzen, dass Sicherheitsmaßnahmen billiger kommen. Im Übrigen gilt: Nur Daten, die nicht gesammelt werden, sind sicher.
TheBear 26.10.2017
3. Selbst der SPON
Selbst der SPON fällt auf diesen Schwachsinn rein. Das sind doch keine Schwachstellen, sondern Angriffe auf die Privatsphäre, die illegal sein sollten. So was kann gar nicht durch eine Programmier"fehler" passieren.
Bell412 26.10.2017
4. Ein Hoch auf Siggi-Pop
der uns den ganzen Schrott auch noch par ordre de Mufti in Form von Smart-Meter als sog. Stromzähler verschreibt. Den eCall-Sch*** fürs Auto nicht zu vergessen. Da werden die Herrschaften Politiker kaum den Herstellern eine Haftung auferlegen, man würde sich ja die eigenen Hintertüren verbauen. Aber was solls, nachdem eh jeder DAU glaubt, er/sie sei nur Hip mit Alexa, Siri, Echo und Cortana.. Die Lücke ist kein Versehen, sie ist Programm.
Oberleerer 26.10.2017
5.
Das ist keine Absicht. Es wird eben alles verbaut und realisiert, was nichts zusätzlich kostet, um es dem unbedarften Kunden als Feature unterzuschieben. Viele dieser Funktionen sind unnötig wie ein Kropf. Früher sagte man, was nicht dran ist, kann auch nicht kaputt gehen. Heute erwachsen daraus konkrete Gefahren, bis hin zu gesellschaftlichen Umwälzungen? Wie, nicht bei Facebook? Das kann bei der Einreise in die USA böse ins Auge gehen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.