در این نفوذ نیازی نیست که هکر و آن وسیله هوشمند در یک شبکه باشند. به گفته محققان، این آسیبپذیری میتواند هکرها را وارد نرم افزار Cloud SmartThinQ شرکت الجی کند و این اجازه را به هکر میدهد تا حساب کاربری قربانی را از آن خود کند. محققان، خطرات ناشی از این آسیب پذیری را با کنترل LG Hom-Bot، که با دوربین امنیتی و سنسورهای تشخیص حرکت مجهز شده را متذکر شدند و بنا بر گزارشات بیش از یک میلیون کاربر این وسیله هوشمند را خریداری کردهاند. متاسفانه استفاده از این آسیبپذیری خیلی دشوار نیست و یک هکر با سطح دانش متوسط هم میتواند این نفوذ را پیادهسازی کند. همچنین، چنین دستگاههایی که قرار است دسترسی کاربران از راه دور به یک برنامه را به کاربران ارائه دهند، نمیتوانند در پشت فایروال قرار بگیرند تا آنها را از قرار گرفتن در معرض حمله هکرها دور نگه دارند.
این حمله چگونه کار میکند؟
محققان روند ورود به سیستم برنامه SmartThinQ را تجزیه و تحلیل کرده و دریافتند که شامل مراحل زیر است:
- درخواست احراز هویت : کاربر وارد صفحه ورود میشود، که توسط سرورهای شرکت تأیید میشود.
- درخواست امضا: امضای مبتنی بر نام کاربری ارائهشده فوق (مانند آدرس ایمیل) ایجاد میشود، و این امضا هیچ ارتباطی با رمز عبور ندارد.
- درخواست توکن :یک نشانه دسترسی برای حساب کاربر با استفاده از پاسخ امضا به نام کاربری به عنوان یک پارامتر تولید میشود.
- درخواست ورود Token:امنیت دسترسی بالا تولید شده را به منظور اجازه دادن به کاربر برای ورود به حساب ارسال میکند.
خوشبختانه شرکت ال جی در ماه سپتامبر یک بروزرسانی برای حل این مشکل منتشر کرد.بنابراین، اگر شما دارای یک دستگاه الجی SmartThinQ هستید، به شدت توصیه میشود که برنامه موبایل LG SmartThinQ خود را به آخرین نسخه بروز رسانی کنید.
ثبت دیدگاه