如何保障家用 IoT 設備不被黑？安全專家Check Point是這樣做的

全球領先的網絡安全解決方案提供商 Check Point以色列捷邦安全軟件科技有限公司(NASDAQ: CHKP)日前宣布，其安全研究人員已經發現一個安全漏洞 HomeHack，該漏洞使數百萬 LG SmartThinQ? 智能家用設備用戶面臨未經授權遠程控制其 SmartThinkQ 家用設備的風險。

LG SmartThinkQ 移動應用和云應用中的漏洞使得 Check Point 研究團隊能夠遠程登錄 SmartThinQ 云應用，接管用戶的合法 LG 帳號，并獲得對真空吸塵器及其集成攝像機的控制權限。一旦控制特定用戶的 LG 帳戶后，與該帳戶相關聯的任何 LG 裝置或設備都可以由攻擊者控制，包括真空掃地機器人、冰箱、烤箱、洗碗機、洗衣機、烘干機以及空調。

HomeHack 漏洞使攻擊者可以通過 Hom-Bot 真空掃地機器人的攝像機窺探用戶的家庭活動。作為 HomeGuard Security 功能的一部分，該攝像機可將實時視頻發送到相關的 LG SmartThinQ 應用程序。根據用戶家中 LG 設備的不同，攻擊者還可能打開或關閉洗碗機或洗衣機。

Check Point 產品漏洞研究主管 Oded Vanunu 表示：“隨著越來越多的智能設備應用到家庭中，黑客將攻擊重心從單個設備轉移到控制設備網絡的應用程序上。這使網絡犯罪分子有更多機會利用軟件缺陷，入侵用戶的家庭網絡并訪問其敏感數據。使用 IoT 設備時，用戶需要了解安全和隱私風險。另外，IoT 制造商在設計軟件和設備時，必須注重通過實施強大的安全措施，保護智能設備免受攻擊?！?/p>

SmartThinQ 移動應用程序中的漏洞使 Check Point 研究人員能夠創建一個偽造的 LG 帳戶，然后利用該帳戶接管用戶的合法 LG 帳戶，從而進一步遠程控制用戶的智能 LG 設備。Check Point 遵循負責任的披露原則，在 2017 年 7 月 31 日向 LG 通報了存在的漏洞。LG 回應稱將于 9 月底在 SmartThinQ 應用程序中修復所報告的問題?！爸档脩c幸的是，LG 非常負責任地提供了一個高質量的修補，以阻止黑客可能利用其 SmartThinQ 應用程序和設備中存在的問題，”Oded Vanunu 說。

LG Electronics 智能解決方案業務部門智能開發團隊經理 Koonseok Lee 表示：“作為 LG Electronics 豐富全球消費者生活使命的一部分，我們不斷擴展下一代智能家用產品系列，同時優先考慮開發出安全可靠的軟件程序。8 月份，LG Electronics 與 Check Point Software Technologies 合作，共同執行一個先進的根本原因查找流程以檢測安全問題，并立即開始更新補丁程序。9 月 29 日起，該安全系統一直順暢運行更新的 1.9.20 版本，未發生任何問題。LG Electronics 計劃繼續加強軟件安全系統，并與 Check Point 等網絡安全解決方案提供商通力合作，以提供更安全、更便利的設備?！?/p>

為保護用戶設備，LG SmartThinQ 移動應用程序和設備的用戶應確保從 LG 網站更新到最新軟件版本。Check Point 還建議消費者采取以下步驟保護其智能設備和家庭 Wi-Fi 網絡，避免可能的網絡入侵和遠程設備接管：

1. 將 LG SmartThinQ 應用程序更新至最新版本 (V1.9.23)：您可以通過 Google Play 商店、Apple 的 App Store 或 LG SmartThinQ 應用程序設置更新該應用程序。
2. 將智能家用物理設備更新至最新版本：您可以在 SmartThinQ 應用程序控制臺下單擊該智能家用產品進行更新（如果有更新可用，您將收到彈窗提醒）

LG 的 SmartThinQ? 系列智能設備和安全解決方案使用戶能夠通過智能手機監控和維護其家用產品。2016 年上半年，Hom-Bot 真空掃地機器人的銷量超過 400,000 臺。2016 年，智能家用設備的全球銷售量達 8,000 萬臺，較 2015 年增長 64%。