HomeHack：黑客如何控製 LG 的 IoT 家用設備

獲獎驚悚電視片Mr. Robot（黑客軍團）第二季一開始的場景就讓網絡安全行業不寒而栗。該劇以讓人不安的逼真細節，描繪了黑客在無形之中潛入智能家庭係統，將家庭 IoT 技術變成對付家中住客的工具。電視和立體音響開始胡亂地開啟關閉；淋浴水毫無預兆地從沸騰溫度降到極其冰冷；空調將室內降低到北極溫度，迫使住客不得不離開家中。整個劇中最讓人惶恐的不是這種類型的網絡攻擊或許會發生，而是已經變成現實。

最近，Check Point 在 LG 智能家庭基礎設施中發現了名為 HomeHack 漏洞，導致可能發生嚴重的用戶帳號接管問題。如果攻擊者利用這個漏洞，就可以登錄到 LG 用戶的 SmartThinQ® 家用設備帳號，並且遠程控製連接於該帳號的設備。

攻擊者利用 HomeHack 漏洞可停止冰箱的工作、打開烤箱、訪問掃地機器人上的攝像機將其變成家庭間諜，甚至可以使得洗碗機不斷出水，讓廚房變成戲水池。

此漏洞可能已經廣泛傳播：2016 年上半年，LG Hom-Bot 掃地機器人的銷售量已超過 40 萬台。

2017 年 7 月 31 日，我們向 LG 通告這一漏洞，LG 也作出了負責任的響應，在 9 月底發布了已修補此漏洞的新版本，以阻止黑客可能利用其 SmartThinQ 應用程序和設備中存在的問題。

LG 是一家領先的工業、企業和家用 IoT 設備供應商。LG 公司於 2011 年推出了 SmartThinQ® 係列家用設備，用戶可以通過應用程序進行遠程控製，隨時隨地監控和維護家中環境。這些智能設備包括常用的洗碗機、冰箱、微波爐、烘幹機和掃地機器人。

侵犯隱匿 - 黑入 Hom-Bot

LG 的 SmartThinQ 設備之一是 Hom-Bot 掃地機器人。LG 公司將其定位為真空吸塵器和監控警衛的混合體，帶有 HomeGuard 安全功能，可以在檢測到移動物體時發出警報。該功能的設計目的是讓用戶可以打開位於 Hom-Bot 掃地機器人頂部的內置攝像頭，為智能手機應用程序發送實時視頻流。

觀看攻擊過程演示 - 單擊此處

然而，如果帳號被黑客接管，該攝像頭就會成為攻擊者監視受害者家庭的作惡工具，而且後者毫不知情，最為明顯的負麵後果就是侵犯他人隱私和危害人員安全。

我們發現 HomeHack 漏洞存在於用戶在 LG SmartThinQ 應用程序上登錄帳號的過程之中。

首先，攻擊者需要在客戶端重新編譯 LG 應用程序，以繞過安全保護。這使得設備與 LG 服務器之間的通信可以被攔截。然後，意圖不軌的攻擊者創建一個假 LG 帳號以開始登錄流程。通過操縱登錄流程並輸入受害者而非攻擊者的電子郵件地址，就可能黑入受害者帳號並控製該用戶擁有的所有 LG SmartThinQ 設備，包括 Hom-Bot 掃地機器人、冰箱、烤箱、洗碗機、洗衣機、烘幹機及空調。

此漏洞凸顯出智能家用設備遭到攻擊的可能性，此類攻擊可能是為了窺探家中的住客和用戶以及竊取數據，或者是利用這些設備作為中轉站實施進一步攻擊，如發送垃圾郵件、拒絕服務攻擊（如 2016 年出現的大規模 Mirai 僵屍網絡攻擊）或傳播惡意軟件。 

隨著越來越多的智能設備應用到家庭中，黑客開始將攻擊重心從單個設備轉移到控製設備網絡的應用程序上。這使得犯罪分子有更多機會利用軟件缺陷，入侵用戶的家庭網絡並訪問其敏感數據。

因此，使用 IoT 設備時，用戶需要了解安全和隱私風險。另外，IoT 製造商在設計軟件和設備時，就必須注重通過實施強大的安全措施保護智能設備免受攻擊，而不是在事後再增加安全防護措施。 

防禦 HomeHack

為保護用戶設備，LG SmartThinQ 移動應用程序和設備的用戶應確保從 LG 網站更新到最新軟件版本。Check Point 還建議消費者采取以下步驟保護其智能設備和家庭 Wi-Fi 網絡，避免可能的網絡入侵和遠程設備接管： 

1.將 LG SmartThinQ 應用程序更新至最新版本 (V1.9.23)：您可以通過 Google Play 商店、Apple 的 App Store 或 LG SmartThinQ 應用程序設置更新該應用程序。

2.將智能家用物理設備更新至最新版本：您可以在 SmartThinQ 應用程序控製台下單擊該智能家用產品進行更新（如果有更新可用，您將收到彈窗提醒）

HomeHack 技術細節：

在揭露此漏洞的過程中，我們研究了 LG 的手機應用程序和後端平台。為了能夠使用調試工具，我們使用了已 Root 的設備。起初，我們遇到了 Root 檢測功能，如果檢測到手機已 Root，LG 應用程序就會立即關閉。

第一步是要繞過這種反 Root 機製。我們使用 ADB（安卓調試橋）工具提取出應用程序並對其進行反編譯。在研究代碼時，我們發現了負責 Root 檢測的兩個函數：

如您所見，兩個函數均調用 finish 代碼執行 onDestory 方法，也正是該方法關閉了應用程序。

為了繞過此限製，我們隻是刪除了“finish”調用並重新編譯該應用程序。

在繞過 Root 檢測後，我們設置了一個代理以允許我們攔截應用程序的流量。起初，我們遇到一個 SSL Pining 機製，使得我們無法攔截和調查應用程序流量。

於是我們返回代碼中，以了解 LG 如何實施此 SSL Pinning 機製：

我們對此函數進行修補並重新編譯了應用程序，這次添加了調試功能。消除所有障礙後，我們成功實現了流量攔截。

下一步是創建一個 LG 帳號並登錄應用程序。通過分析登錄過程，我們發現其中包含以下請求：

1.身份驗證請求 - 驗證用戶憑證。

2.簽名請求 - 根據身份驗證請求的用戶名創建一個簽名。

3.令牌請求 - 使用簽名響應作為表頭，並將用戶名作為參數來獲取用戶帳號的訪問令牌。

4.登錄請求 - 發送訪問令牌以登錄應用程序。

我們發現在步驟 1 和步驟 2-3 之間沒有直接的依賴關係。這意味著攻擊者可以使用其用戶名順利通過步驟 1，然後在步驟 2 和 3 中修改為受害者的用戶名。步驟 4 將允許攻擊者完成登錄程序後轉至受害者的帳號。

如前文所述，通過利用 HomeHack 漏洞，攻擊者可以接管受害者帳戶並控製其 LG 智能設備。

漏洞發現的始源：

在調查伊始，我們原計劃是研究 Hom-Bot 本身並搜尋設備本身存在的漏洞。為尋找 UART（通用異步接收器/發送器）連接，我們對 Hom-Bot 進行了拆卸。

這讓我們得以訪問文件係統。UART 連接可以在標簽控製台附近的攝像機頂部找到。通過連接到 UART，我們成功操縱 U-Boot 並獲得對文件係統的訪問。

在調試主進程時，我們嚐試找到負責 Hom-Bot 與 SmartThinQ 移動應用程序之間通信的代碼。

當時我們是要調查 SmartThinQ 應用程序，卻最終發現了會將 Hom-Bot 變成家中間諜的 HomeHack 漏洞。

要了解有關 IoT 安全及如何保護家庭網絡的詳細信息，請單擊此處。

原文發布時間為：2017年11月6日

本文作者：Roman Zaikin ， Dikla Barda

本文來自雲棲社區合作夥伴至頂網，了解相關信息可以關注至頂網。