Philips Hue: kwetsbaarheid gaf hackers toegang tot complete netwerk gebruiker
Door een kwetsbaarheid in de Philips Hue-producten konden hackers toegang krijgen tot het complete netwerk van de gebruiker. Hoewel het risico blijft bestaan, heeft fabrikant Signify nu een update uitgebracht die moet voorkomen dat dit gebruikers overkomt.
De kwetsbaarheid was ontdekt in het communicatieprotocol Zigbee waar Philips Hue gebruik van maakt. Dat protocol komen we ook tegen in andere smarthomeproducten, zoals die van Amazon, Samsung, Belkin, Hive, Yale, Honeywell, Bosch en Ikea. Het is de onderzoekers van Check Point gelukt het netwerk binnen te komen door slechts één lamp over te nemen.
Lek in Philips Hue-netwerk
Kwaadwillenden kunnen een oud lek, dat oorspronkelijk in 2016 ontdekt werd, misbruiken om één van de slimme lampen binnen het netwerk over te nemen. Als de lamp willekeurig gedrag gaat vertonen (zoals veranderende helderheid en kleuren), zal de eigenaar van zo’n lamp deze verwijderen en opnieuw toevoegen aan het Hue-netwerk. Dat is het moment waarop de malware naar de Hue-bridge gebracht wordt, waardoor kwaadwillenden ineens toegang hebben tot je complete netwerk.
Zo kunnen bijvoorbeeld ook computers en andere slimme apparaten gecompromitteerd worden. Daardoor kan er software als keyloggers en ransomware op je apparaten verschijnen.
Check Point heeft de resultaten van het onderzoek al in november met Signify, het bedrijf achter Philips Hue, gedeeld. Sinds medio januari is er een patch beschikbaar, die je als het goed is al op je bridge hebt staan. Check dus snel of er nog een update beschikbaar is binnen de app. Is die er nu niet, dan heb je de meest recente softwareversie. Dat geldt natuurlijk helemaal als je de updates automatisch binnenhaalt en installeert.
De originele kwetsbaarheid is helaas niet te verhelpen. Daarvoor is nieuwe hardware nodig. Deze patch zorgt er in elk geval voor dat de kwaadaardige software zich niet kan verspreiden naar andere apparaten.
Reactie van Signify
Tegenover Smarthome Magazine laat Signify weten dat er geen nieuwe hardware nodig is om het probleem in de kern op te lossen. Volgende maand moet er een update verschijnen die het probleem de wereld uit helpt. De Philips Hue-lampen die de meest recente hardwareconnectiviteitsgeneratie gebruiken, bevatten geen kwetsbaarheid voor software-updates.