Открита е нова уязвимост в интелигентната осветителна система Philips Hue, която може да позволи на хакерите да получат достъп до локалната хост мрежа и други устройства, свързани с нея.
Открит от Проучване на Check Point и демонстрирано в a видео , недостатъкът е свързан с комуникационния протокол Zigbee, използван от крушки Philips Hue и редица други устройства за интелигентен дом, включително Amazon's Ring, Samsung SmartThings, Ikea Tradfri и WeMo на Belkin.
Според изследователите по сигурността, уязвимостта може да позволи на локален нападател да поеме контрола върху крушките на Hue, използвайки злонамерена ефирна актуализация и да накара крушките да проявяват произволно поведение и да станат неконтролируеми. Ако след това потребителят изтрие крушката и я добави отново в приложението Hue, нападателят може да получи достъп до моста Hue.
Управляваната от хакери крушка с актуализиран фърмуер след това използва уязвимостите на протокола ZigBee, за да задейства препълване на буфер, базиран на heap, на контролния мост, като изпраща голямо количество данни към него. Тези данни също така позволяват на хакера да инсталира зловреден софтуер на моста – който от своя страна е свързан с целевия бизнес или домашна мрежа.
Всеки Philips Hue Hub, свързан към интернет, трябва автоматично да се е актуализирал до версия 1935144040, която коригира тази специфична уязвимост. Потребителите могат да проверят сами, като видят дали има налични актуализации за приложението Hue.
Недостатъкът всъщност разчита на уязвимост, която е била първоначално открити през 2016 г. и който не може да бъде коригиран, тъй като ще изисква хардуерна актуализация на интелигентните крушки.
„Много от нас са наясно, че IoT устройствата могат да представляват риск за сигурността“, каза Янив Балмас, ръководител на киберизследванията в Check Point Research. „Но това изследване показва как дори най-обикновените, привидно „глупави“ устройства като електрическите крушки могат да бъдат експлоатирани от хакери и използвани за превземане на мрежи или създаване на зловреден софтуер.“
Етикети: Philips , Philips Hue
Популярни Публикации