Si chiama HomeHack e rappresenta, qualora ce ne fosse bisogno, l’ennesimo avvertimento sui rischi per la privacy e la sicurezza connessi all’uso dei gadget e degli elettrodomestici interconnessi nella Internet delle Cose (IoT). Le vittime, nel caso in oggetto, sono i proprietari di dispositivi LG pensati per essere controllati da remoto tramite la app SmartThinQ .

L’applicazione mobile del produttore sudcoreano, come ha scoperto Check Point , può essere compromessa in modo tale da permettere l’ abuso delle comunicazioni tra client e server della corrispondente piattaforma cloud di LG, violare l’account remoto dei clienti della corporation e penetrare negli ambienti domestici o negli uffici in cui sono utilizzati gli elettrodomestici vulnerabili .

I dispositive coinvolti dal problema includono frigoriferi, forni, lavastoviglie, lavatrici, asciugatrici, condizionatori e i robot per le pulizie della linea Hom-Bot. In quest’ultimo caso, Check Point ha dimostrato la pericolosità di HomeHack registrando un video catturato direttamente dalla telecamera integrata sul dispositivo.

mitigare parzialmente il rischio per gli utenti c’è il fatto che la falla non è facile da sfruttare, poiché un tentativo di attacco richiede la ricompilazione della app lato-client per bypassare le misure di sicurezza, la creazione di un account LG fasullo per avviare il processo di login e la manipolazione del traffico per compromettere un account legittimo tramite l’indirizzo email della vittima. Per contro, una volta andato a segno, HomeHack darebbe al criminale accesso totale ai dispositivi SmartThinQ posseduti dall’utente.

Check Point ha scoperto la vulnerabilità HomeHack in estate comunicandone prontamente l’esistenza a LG, e la corporation ha risposto rilasciando una versione di SmartThinQ non vulnerabile : la 1.9.20 uscita il 29 settembre scorso (attualmente sugli store Apple e Google è disponibile la 1.9.24); con in più l’ update per i firmware dei dispositivi IoT interessati . Mai come in questo caso, l’ aggiornamento è più che raccomandato.

Alfonso Maruccia