Μια Philips Hue ευπάθεια – κενό ασφαλείας επιτρέπει σε κάποιον hacker να πάρει τον έλεγχο τον έξυπνων λαμπτήρων και έτσι να τους ανοιγοκλείνει ή να αλλάζει την φωτεινότητα τους και το χρώμα τους. Αυτό μπορεί να γίνει από απόσταση χρησιμοποιώντας ένα laptop και έναν πομπό κεραίας.

Αν και το θέμα αυτό παραμένει η εταιρεία ενήργησε σχετικά γρήγορα έτσι ώστε να μπλοκάρει ένα άλλο κενό ασφαλείας που επέτρεπε στον επιτιθέμενο να παρέμβει στην Hue bridge και από εκεί να έχει πρόσβαση και σε όλο το οικιακό δίκτυο καθώς και στις συσκευές που θα ήταν συνδεμένες σε αυτό.

Η ευπάθεια αυτή ανακαλύφτηκε στο πρωτόκολλο επικοινωνίας Zigbee που χρησιμοποιούν οι λαμπτήρες της Philips αλλά και άλλες έξυπνες συσκευές. Το πρωτόκολλο αυτό χρησιμοποιείται επίσης και από τα Amazon Echo Plus, Samsung SmartThings, Belkin WeMo, Hive Active, Yale έξυπνες κλειδαριές, Honeywell θερμοστάτες, Bosch Security Systems, Ikea Tradfri, Samsung Comcast Xfinity Box, και πολλά ακόμη.

Η επίθεση μπορεί να γίνει σοβαρή με το εξής σενάριο:

  • O hacker χρησιμοποιεί την αρχική ευπάθεια και έχει έλεγχο μιας έξυπνης λάμπας
  • Ο χρήστης βλέπει μια συμπεριφορά της λάμπας που δεν είναι κανονική και πως δεν μπορεί να την ελέγξει
  • Η άμεση ενέργεια που θα κάνει είναι να διαγράψει την λάμπα αυτή και να προχωρήσει εκ νέου σε εγκατάσταση της
  • Η νέα εγκατάσταση της δίνει στο malware πρόσβαση άμεση στην Hue Bridge
  • Από εκεί ο hacker έχει πρόσβαση σε όλο το οικιακό δίκτυο του χρήστη καθώς και στις συσκευές που είναι συνδεμένες σε αυτό.

Η εταιρεία που ανακάλυψε αυτή την ευπάθεια, Check Point, άμεσα επικοινώνησε με την Signify που είναι ο ιδιοκτήτης της Philips Hue μπράντας. Έτσι ένα patch είναι πλέον διαθέσιμο και οι χρήστες θα πρέπει άμεσα από την Hue εφαρμογή να προχωρήσουν στην εγκατάσταση του.

Να τονίσουμε πως η αρχική ευπάθεια που δίνει σε κάποιον τρίτο πρόσβαση σε έξυπνες λάμπες δεν μπορεί να γίνει patch μιας και κάτι τέτοιο θα απαιτούσε αλλαγή στο ίδιο το hardware της λάμπας. Με το patch όμως που έγινε διαθέσιμο θωρακίζεται η ασφάλεια του δικτύου του χρήστη.