Kwetsbaarheid aanwezig in Philips Hue-lampen
Signify, het bedrijf achter de populaire lampen, heeft een update uitgebracht die moet voorkomen dat kwaadwillenden toegang krijgen tot andere apparaten in je netwerk, zoals bijvoorbeeld een pc of laptop. Dit zou dan gaan via de Philips Hue-bridge die je nodig hebt wanneer je de lampen via Zigbee en wifi wil aansturen. Het probleem zelf zit hem in het Zigbee-protocol, waar ook andere fabrikanten gebruik van maken. Denk dan aan Yale, Samsung, Amazon, Honeywell, Ikea, Belkin, Bosch en nog veel meer bedrijven.
Onderzoekers van Check Point hebben het probleem gevonden. Ze zijn als volgt te werk gegaan:
- De aanvaller neemt de controle over via de kwetsbaarheid van een enkele lamp in het netwerk.
- De gebruiker ziet dan willekeurig gedrag en kan zelf de lamp in kwestie niet meer bedienen.
- Om het probleem op te lossen kan de gebruiker besluiten de lamp te verwijderen en opnieuw toe te voegen.
- Wanneer dat laatste gebeurt, dan kan er malware geïnstalleerd worden op de Philips Hue-bridge.
- Vanuit dat punt kan de malware zich verspreiden naar andere apparaten binnen je netwerk, zoals je computer.
Heeft zo’n aanvaller eenmaal toegang tot je pc, dan kan daar eveneens kwaadaardige software op geïnstalleerd worden. Denk dan aan keyloggers en ransomware: programma’s waar je niet heel gemakkelijk van afkomt. De onderzoekers hebben de kwetsbaarheid gemeld van Signify, die daarom nu een update beschikbaar gesteld heeft. Check dus meteen of je Philips Hue-app een update kan downloaden of doe dat zo snel mogelijk. Zo weet je zeker dat je netwerk niet ineens overgenomen kan worden door iemand van buitenaf.
Er geldt wel een belangrijke kanttekening. De update zorgt er alleen maar voor dat de lamp geen toegangspoort wordt voor de rest van je netwerk. De kwetsbaarheid an sich kan niet zomaar worden verholpen in oudere lampen. Daarvoor is nieuwe hardware nodig.
Update: Signify geeft aan dat er geen nieuwe hardware nodig is en dat dit door middel van een patch volgende maand opgelost zal worden. We wachten het af. Hieronder vind je de volledige reactie van het bedrijf.
Reactie van Signify
In het kader van onze Verantwoorde Openbaarheid-procedure willen we graag verheldering brengen rond een veiligheidsitem van Philips Hue dat onlangs werd gebracht door Check Point Security. Een aanval van Checkpoint op het Philips Hue-systeem werd ons in november bekendgemaakt* en enkele weken geleden al via een patch in het systeem geremedieerd.
De volledige aanval vereist nabijheid, social engineering en vertrouwt op een kwetsbaarheid die al in 2017 werd ontdekt. Deze kwetsbaarheid werd dan ook al enkele jaren door een firmware update gepatcht. De nieuwe kwetsbaarheid van het controlepunt bood een mogelijkheid om de Philips Hue-brug aan te vallen via een gecompromitteerde lamp. Ook dit hebben we gepatcht vooraleer de details van de bevindingen openbaar werden gemaakt. Er is een zeer beperkt risico voor gebruikers. Ze worden wel aangeraden om hun Philips Hue-producten te updaten naar de nieuwste softwareversie.
De Philips Hue-lampen die de meest recente hardware-connectiviteitsgeneratie gebruiken, bevatten geen kwetsbaarheid voor software-updates (in productie vanaf 2018).De onderzoekers van Check Point, met wie we hebben samengewerkt op basis van onze Verantwoorde Openbaarheid-procedure, hebben enkel maar de kans op een aanval aangetoond. Ze hebben geen informatie vrijgegeven die iemand anders nodig heeft om dit te doen. Hun onderzoeksresultaten hebben ons geholpen de software-update te ontwikkelen en uit te rollen.
Reacties (2)