È stata scoperta una nuova vulnerabilità nel sistema di illuminazione intelligente Philips Hue che potrebbe consentire agli hacker di accedere alla rete host locale e ad altri dispositivi ad essa collegati.
Scoperto da Check Point Ricerca e dimostrato in a video , il difetto riguarda il protocollo di comunicazione Zigbee utilizzato dalle lampadine Philips Hue e da una serie di altri dispositivi domestici intelligenti, tra cui Ring di Amazon, Samsung SmartThings, Ikea Tradfri e WeMo di Belkin.
Secondo i ricercatori di sicurezza, la vulnerabilità potrebbe consentire a un utente malintenzionato locale di assumere il controllo delle lampadine Hue utilizzando un aggiornamento over-the-air dannoso e far sì che le lampadine mostrino un comportamento casuale e diventino incontrollabili. Se l'utente elimina la lampadina e la aggiunge nuovamente nell'app Hue, l'attaccante è in grado di accedere al bridge Hue.
La lampadina controllata da hacker con firmware aggiornato utilizza quindi le vulnerabilità del protocollo ZigBee per attivare un overflow del buffer basato su heap sul bridge di controllo, inviandogli una grande quantità di dati. Questi dati consentono inoltre all'hacker di installare malware sul bridge, che a sua volta è connesso alla rete aziendale o domestica di destinazione.
Ogni Philips Hue Hub connesso a Internet dovrebbe essersi aggiornato automaticamente alla versione 1935144040, che corregge questa specifica vulnerabilità. Gli utenti possono verificare se stessi cercando se sono disponibili aggiornamenti per l'app Hue.
Il difetto in realtà si basa su una vulnerabilità che era originariamente scoperto nel 2016 e che non può essere patchato, poiché richiederebbe un aggiornamento hardware delle lampadine intelligenti.
'Molti di noi sono consapevoli che i dispositivi IoT possono rappresentare un rischio per la sicurezza', ha affermato Yaniv Balmas, responsabile della ricerca informatica presso Check Point Research. 'Ma questa ricerca mostra come anche i dispositivi più banali e apparentemente 'stupidi' come le lampadine possono essere sfruttati dagli hacker e usati per impadronirsi delle reti o piantare malware.'
Tag: Philips , Philips Hue
Messaggi Popolari