mboost-dp1

Unsplash

Sikkerhedsbrist i Philips-hue

- Via Computer World -

En fire år gammel sikkerhedsbrist i de populære smart-lys-system fra Philips Hue kan give uvedkommende adgang til netværket de er koblet på

Det er virksomheden Check Point Software, der pointerer, at den fejl de fandt for fire år siden, endnu ikke er patchet af Philips.

Hullet der blev opdaget relaterer sig til Zigbee protokollen som Philips Hue benytter, hvor der kan blive installeret alternativ software på lamperne.

Processen er derefter lidt som ved sårbarheden ved Ring-ringklokkerne; hackeren skal provokere ejeren af lampen til at geninstallere den, f.eks. ved at få lampen til at blinke vildt eller skifte farve hele tiden. 

Når ejeres af lampen geninstallerer samme lampe, sendes samtidig også SSID + kodeord til det lokale Wifi-netværk, som lamperne er koblet på – og nu er der således adgang for uvedkommende, da softwaren der modtager SSID + kodeord, slet ikke er det oprindelige Philips hue software længere.

Hacket vil dog ikke kunne lade sig gøre med samme genneslagskraft, hvis der bruges et seperat IoT-netværk – selvfølgelig.





Gå til bund
Gravatar #1 - Qw_freak
7. feb. 2020 06:57
Jeg forstår ikke lige helt!?

1. Hav adgang til netværket og få lampen til at blinke
2. Få brugeren til at geninstallere SW
3. Opsnap SSID+PWD
4. Brug oplysninger til at få adgang til samme netværk, gå til 1

Gravatar #2 - ScorpD
7. feb. 2020 07:17
Qw_freak (1) skrev:
Jeg forstår ikke lige helt!?

1. Hav adgang til netværket og få lampen til at blinke
2. Få brugeren til at geninstallere SW
3. Opsnap SSID+PWD
4. Brug oplysninger til at få adgang til samme netværk, gå til 1




Der er en sårbarhed i Atmel’s implementering af ZLL Touchlink protocol state machine som gør at man kan lave over-the-air updates og fjernstyring af lamperne etc. vha. ZigBee, uden nogen forudgående kendskab til enhederne.

Det er det der sker i step 1.
Gravatar #3 - Qw_freak
7. feb. 2020 13:40
ScorpD (2) skrev:

Der er en sårbarhed i Atmel’s implementering af ZLL Touchlink protocol state machine som gør at man kan lave over-the-air updates og fjernstyring af lamperne etc. vha. ZigBee, uden nogen forudgående kendskab til enhederne.

Det er det der sker i step 1.

Ahh, så giver det mening! :)
Gravatar #4 - Athinira
7. feb. 2020 15:41
Både artiklen og artiklens kilde (Check Point) siger begge at fejlen ER blevet patchet :-)
Gravatar #5 - CBM
8. feb. 2020 23:03
en IoT enhed med en sikkerhedsbrist?

....... Jeg er MÅLLØS! :O

ironi kan forekomme :D
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login