HOMEHACK：黑客如何控制LG的物联网家用电器

屡获殊荣的电视惊悚片“机器人”先生的第二季首播了一个让网络安全世界的脊椎发抖的场景。 在令人不安的现实细节中，黑客几乎闯入智能家居，将家庭物联网技术与其居民对抗。 电视和立体声开始随机打开和关闭，淋浴中的水温从沸腾到冻结，几乎没有警告，空调残酷地迫使角色通过达到北极温度离开家园。 整个序列中最令人不安的部分并不是这种类型的网络攻击可能发生。

这令人不安，因为它已经发生了。

最近，Check Point在LG的智能家居基础设施中发现了一个名为HomeHack的漏洞，将其暴露给关键的用户帐户接管。 如果攻击者利用此漏洞，他们就可以登录LG用户的SmartThinQ®家用电器帐户并远程控制连接到该帐户的设备。

HomeHack漏洞使攻击者有可能通过Hom-Bot机器人吸尘器摄像机监视用户的家庭活动，该摄像机将实时视频发送到相关的LG SmartThinQ应用程序，作为其HomeGuard安全功能的一部分。 根据所有者家中的LG设备，攻击者还可以打开或关闭洗碗机或洗衣机。

这种脆弱性本来就很普遍：2016年上半年LG Hom-Bot机器人吸尘器的销量超过了400,000。

我们于2017年7月31日向LG通知了此漏洞，并且LG负责任地采取措施，以阻止可能利用其SmartThinQ应用和设备中的问题，并在9月底发布修补此漏洞的新版本。

要了解有关保护物联网的最新进展的更多信息，请下载“ 通过网络安全实现物联网连接世界 ”白皮书。

LG是工业，企业和家用电器物联网设备的领先供应商。 它于2011年推出了SmartThinQ®系列家用电器，允许用户通过应用程序远程控制它们，随时随地监控和维护家庭。 这些智能设备包括常用的物品，如洗碗机，冰箱，微波炉，干衣机和机器人吸尘器。

隐私尘埃 - 攻击Hom-Bot

LG的SmartThinQ设备之一是Hom-Bot吸尘器。 该公司将其作为真空吸尘器和手表防护装置之间的混合体，具有HomeGuard安全性，可在检测到移动时发出警报。 此功能旨在使用户能够打开位于Hom-Bot真空吸尘器顶部的内置摄像机，然后为智能手机应用程序提供实时视频流。

观看攻击的演示 - 点击这里

然而，这个摄像机，在帐户接管的情况下，将允许攻击者监视受害者的家，无法让他们知道，具有侵犯隐私和个人安全违规的所有明显的负面后果。

我们发现HomeHack漏洞存在于用户登录LG SmartThinQ应用程序帐户的登录过程中。

首先，攻击者需要在客户端重新编译LG应用程序，以绕过安全保护。 这样可以拦截设备和LG服务器之间的流量。 然后，潜在的攻击者创建一个虚假的LG帐户来启动登录过程。 通过操纵登录过程并输入受害者的电子邮件地址而不是他们自己的电子邮件地址，可以侵入受害者的帐户并控制用户拥有的所有LG SmartThinQ设备，包括Hom-Bot机器人吸尘器，冰箱，烤箱，洗碗机，洗衣机和烘干机，以及空调机组。

此漏洞突出了智能家居设备被利用的可能性，要么监视家庭所有者和用户并窃取数据，要么将这些设备用作进一步攻击的中转站，例如垃圾邮件，拒绝服务（正如我们所看到的） 2016年的巨型Mirai僵尸网络）或传播恶意软件。

随着越来越多的智能设备在家中使用，黑客将开始将注意力从针对个别设备转移到黑客攻击控制设备网络的应用程序。 这将使犯罪分子有更多机会利用软件缺陷，导致用户家中断并访问其敏感数据。

因此，用户在使用其物联网设备时需要了解安全和隐私风险，因此物联网制造商必须通过在软件和设备设计过程中实施强大的安全性来专注于保护智能设备免受攻击 - 而不是在以后添加安全性事后的想法。

保护HomeHack

为了保护他们的设备，LG SmartThinQ移动应用和设备的用户应确保他们更新到LG网站的最新软件版本。 Check Point还建议消费者采取以下措施保护其智能设备和家庭Wi-Fi网络免受入侵以及远程设备接管的可能性：

1. 将LG SmartThinQ应用程序更新到最新版本（V1.9.23），您可以通过Google Play商店，Apple的App Store或LG SmartThinQ应用程序设置更新应用程序。
2. 使用最新版本更新智能家居物理设备，您可以通过单击smartThinQ应用程序仪表板下的智能家居产品来实现（如果有更新，您将收到一个提示弹出窗口提示）

HomeHack技术细节：

在暴露此漏洞的过程中，我们研究了LG的电话应用程序和后端平台。 为了能够使用调试工具，我们使用了root设备。 最初，我们遇到了根检测功能，如果检测到手机已植根，则会导致LG应用程序立即关闭。

我们的第一步是绕过这种反根机制。 使用ADB（Android Debug Bridge）工具，我们撤消了应用程序并对其进行了反编译。 查看代码，我们发现了两个负责根检测的函数：

如您所见，两个函数都调用finish来执行onDestory方法，该方法关闭应用程序。

为了绕过这种缓解，我们只需删除“完成”调用并重新编译应用程序。

绕过根检测后，我们设置了一个代理，允许我们拦截应用程序流量。 起初，我们遇到了一种SSL压缩机制，它阻止我们拦截应用程序流量并对其进行调查。

然后，我们回到代码中了解LG如何实现SSL钉扎机制：

我们修补了这个函数，并重新编译了应用程序，这次添加了它的调试功能。 通过消除所有障碍，我们实现了交通拦截。

我们的下一步是创建一个LG帐户并登录该应用程序。 通过分析登录过程，我们发现它包含以下请求：

1. 身份验证请求 - 验证用户凭据。
2. 签名请求 - 根据来自身份验证请求的用户名创建签名。
3. 令牌请求 - 使用签名响应作为标头和用户名作为参数来获取用户帐户的访问令牌。
4. 登录请求 - 发送访问令牌以登录应用程序。

我们发现步骤1和步骤2-3之间没有直接依赖关系。 这意味着攻击者可以使用他的用户名通过步骤1，然后在步骤2和3中将用户名更改为受害者。步骤4将允许攻击者完成对受害者帐户的登录过程。

通过利用HomeHack漏洞，如上所述，攻击者可以接管受害者的帐户并控制他的智能LG设备。

一切如何开始：

当我们第一次开始调查时，我们最初调查了Hom-Bot本身并搜索了设备本身的漏洞。 我们拆开了Hom-Bot以找到UART（通用异步接收器/发送器）连接。

这使我们可以访问文件系统。 可以在标签控制台附近的相机顶部找到UART连接。 通过连接到UART，我们设法操作U-Boot并接收对文件系统的访问。

在调试主进程时，我们查找了负责Hom-Bot与SmartThinQ移动应用程序通信的代码。

这是我们有想法调查SmartThinQ应用程序的时候 - 导致发现HomeHack漏洞，将Hom-bot变成了Hom-Spy。

源：HTTPS：//blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/