En ny sårbarhet har upptäckts i Philips Hue smart belysningssystem som kan låta hackare få tillgång till det lokala värdnätverket och andra enheter som är anslutna till det.
Upptäckt av Check Point Research och demonstrerade i en video- , är bristen relaterad till Zigbee-kommunikationsprotokollet som används av Philips Hue-lampor och ett antal andra smarta hemenheter, inklusive Amazons Ring, Samsung SmartThings, Ikea Tradfri och Belkins WeMo.
Enligt säkerhetsforskarna kan sårbarheten tillåta en lokal angripare att ta kontroll över Hue-glödlampor med en skadlig uppdatering via luften och få glödlamporna att uppvisa slumpmässigt beteende och bli okontrollerbara. Om användaren sedan tar bort glödlampan och lägger till den igen i Hue-appen kan angriparen få tillgång till Hue-bryggan.
Den hackerkontrollerade lampan med uppdaterad firmware använder sedan ZigBee-protokollets sårbarheter för att utlösa ett heapbaserat buffertspill på kontrollbryggan, genom att skicka en stor mängd data till den. Dessa data gör det också möjligt för hackaren att installera skadlig programvara på bryggan – som i sin tur är kopplad till målföretaget eller hemnätverket.
Varje Philips Hue Hub som är ansluten till internet bör automatiskt ha uppdaterat sig själv till version 1935144040, som korrigerar denna specifika sårbarhet. Användare kan kontrollera sig själva genom att se om några uppdateringar är tillgängliga för Hue-appen.
Felet beror faktiskt på en sårbarhet som ursprungligen var upptäckt 2016 och som inte går att patcha, eftersom det skulle kräva en hårdvaruuppdatering av de smarta glödlamporna.
'Många av oss är medvetna om att IoT-enheter kan utgöra en säkerhetsrisk', säger Yaniv Balmas, Head of Cyber Research på Check Point Research. 'Men den här forskningen visar hur även de mest vardagliga, till synes 'dumma' enheter som glödlampor kan utnyttjas av hackare och användas för att ta över nätverk, eller plantera skadlig programvara.'
Etiketter: Philips , Philips Hue
Populära Inlägg