image

Philips dicht beveiligingslek in slimme Hue-lamp

donderdag 3 november 2016, 17:20 door Redactie, 12 reacties

Philips heeft een beveiligingslek in de slimme Hue-lamp gedicht waardoor aanvallers de apparaten konden overnemen. Onderzoekers van het Weizmann Institute of Science en de Canadese Dalhousie University ontdekten dat het mogelijk was om de lamp op een afstand van 70 meter te infecteren.

Het zou daarbij zelfs mogelijk zijn om een worm te maken die zich van de ene naar de andere lamp verspreidt. Vervolgens kan een aanvaller alle lichten in het gebied aan of uit doen wat invloed op de stroomvoorziening kan hebben, op grote schaal epileptische aanvallen veroorzaken door de lampen in een bepaalde frequentie te laten knipperen, ze permanent beschadigen of ze voor een ddos-aanval gebruiken. Het onderliggende probleem dat de onderzoekers blootlegden bevindt zich in het ZigBee-protocol voor draadloze communicatie.

Er bleek een grote fout in de implementatie in een gedeelte van het ZigBee-protocol te zitten dat aanvallen zoals die van de onderzoekers juist moet voorkomen. Daarnaast ontwikkelden ze een nieuwe side channel-aanval om de encryptiesleutel te achterhalen die Philips gebruikt voor het versleutelen en authenticeren van nieuwe firmware. Met apparatuur van een paar honderd dollar lukte het de onderzoekers om deze encryptiesleutel te bemachtigen, waarmee ze vervolgens hun eigen firmware op de lampen konden installeren.

Om de lampen met de kwaadaardige firmware te infecteren moeten die eerst met het netwerk van de onderzoekers verbinding maken. Hiervoor ontwikkelden de onderzoekers een volledig autonome kit die zowel via drones als vanuit een auto kan worden gebruikt om ZigBee-netwerken aan te vallen. Eenmaal met de worm besmet kan een Hue-lamp andere lampen in de buurt aanvallen, waardoor in korte tijd alle lampen in een bepaald gebied geïnfecteerd worden. Na te zijn ingelicht door de onderzoekers kwam Philips met een update die nu is te downloaden. Hieronder een videodemonstratie van de drone-aanval. Meer informatie is te vinden op de website van de onderzoekers en hun rapport "IoT Goes Nuclear: Creating a ZigBee Chain Reaction" (pdf).

Image

Reacties (12)
03-11-2016, 17:51 door Anoniem
Zo'n nieuw protocol en WEER is veiligheid constructief afwezig. Om moe van te worden. Oldskool 433 MHz kent dit probleem niet. Hoezo vooruitgang...?

Firmware updates o.t.a toelaten?!? WTF, gebruik daar dan een microUSB voor!
03-11-2016, 18:09 door Anoniem
De kwetsbaarheid zit in de Atmel’s BitCloud Touchlink implementatie. Philips is niet de enige fabrikant die deze chipset gebruikt. Het probleem is dus waarschijnlijk groter dan alleen de producten van Philips.
03-11-2016, 18:11 door Anoniem
Wat is een "grote fout"?

Is dat meer dan een "goto" fout?
Is dat meer dan PMD zou hebben gevonden?

Is een "grote fout" dan toch kleiner? Of was de code niet gelezen door twee programmeurs?
03-11-2016, 18:31 door karma4 - Bijgewerkt: 03-11-2016, 21:30
Niet Windows gericht probleem dan ook niet interessant?
Update: Ik zag nog geen reacties, voor mij 18:31, nu wel (leuke). Moderatie gaat met vertraging.
03-11-2016, 19:51 door [Account Verwijderd]
Ben blij dat ik - bijna krasse knar - nog een flinke doos 'domme gloeilampen' van Frits Flupkes heb.
03-11-2016, 21:11 door Anoniem
Internet of Things is de toekomst.

Een mooie toekomst of een nachtmerrie ?

Ik hoop dat philips ooit een firewall in mijn gloeilampen inbouwd.
03-11-2016, 21:51 door Spiff has left the building
Door Aha, 19:51 uur:
Ben blij dat ik - bijna krasse knar - nog een flinke doos 'domme gloeilampen' van Frits Flupkes heb.
Ook moderne 'domme' ledlampen hebben natuurlijk geen beveiligingslekken.
Ik vind dit relatief nieuwe filament-type ledlampen wel mooi en prettig:
https://upload.wikimedia.org/wikipedia/commons/6/6a/LEDfilamentLightBulbE27.jpg
Met de hittegolven, afgelopen zomer, vond ik het erg prettig om wat ledlampjes te gebruiken, in plaats van gloeilampen die het 's avonds nog warmer maken binnen.
04-11-2016, 05:50 door Anoniem
De lampen gaan hier gewoon met de lichtschakelaar aan en uit. Toch een stuk effectiever dan elke keer een telefoon moeten pakken om een lampje aan of uit te zetten.
04-11-2016, 07:10 door Anoniem
Updates? Voor een lamp?
04-11-2016, 12:20 door Spiff has left the building
Door Anoniem, do.03-11, 21:11 uur:
Ik hoop dat philips ooit een firewall in mijn gloeilampen inbouwt.
Uiteraard gaat het hier niet over gloeilampen, maar over de 'slimme' Hue-lampen.
Niks mis met gloeilampen, en ook niet met moderne 'domme' ledlampen.
Maar dat wist je natuurlijk best wel ;-)
04-11-2016, 16:25 door Anoniem
Door Anoniem: De lampen gaan hier gewoon met de lichtschakelaar aan en uit. Toch een stuk effectiever dan elke keer een telefoon moeten pakken om een lampje aan of uit te zetten.

Het mooie van zon ouderwets systeem is dat het cumulatief veel energiezuiniger is. Als de schakelaar op uit staat wordt er 0 miliwatt verbruikt. Dat is wel anders dan de stand-by stroom van al die slimme aansturingen, die blijven energie verbruiken ondanks dat je misschien een wereldreis van een half jaar maakt.

Daarnaast is er elektronica die vaak van dermate slechte kwaliteit is dat er regelmatig iets vervangen moet worden, leuk voor de fabrikant en de economie, maar niet voor de gebruiker en de afvalberg. Het produceren van deze producten kost trouwens ook energie.
04-11-2016, 21:36 door Anoniem
Door Spiff:
Door Aha, 19:51 uur:
Ben blij dat ik - bijna krasse knar - nog een flinke doos 'domme gloeilampen' van Frits Flupkes heb.
Ook moderne 'domme' ledlampen hebben natuurlijk geen beveiligingslekken.
Ik vind dit relatief nieuwe filament-type ledlampen wel mooi en prettig:
https://upload.wikimedia.org/wikipedia/commons/6/6a/LEDfilamentLightBulbE27.jpg
Met de hittegolven, afgelopen zomer, vond ik het erg prettig om wat ledlampjes te gebruiken, in plaats van gloeilampen die het 's avonds nog warmer maken binnen.

Zeker een uitvinding die dingen. Aan de andere zijn een paar 60 of 100 W vintage Filament lampen gedimd naar 40% en boven de keukentafel heerlijk op een donkere frisse winterochtend of winteravond. Veel aangenamer dan de verwarming flink heet zetten. Ook het goudkleurige licht kan door geen enkele led-lamp ge-evenaard worden. In de zomer kun je ze verwisselen met dimbare led filament lampen. Of wees creatief en maak hybride fittingen met ledstrips en mat glas om de fitting voor in de zomer en de gloeilamp erin voor in de winter.

Alleen mag dat van Europa niet meer. Gloeilampen worden niet meer gemaakt en halogeenlampen zijn vanaf medio 2017 verboden geproduceerd te worden.

Inslaan wat je kan inslaan dus. Dit gaat geld waard worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.