The Hacker News y la firma de seguridad Check Point han dado a conocer un grave fallo de seguridad en los sistemas de iluminación inteligente Philips Hue gracias al cual un intruso podría ganar acceso a redes Wi-Fi y desde ahí lanzar ataques contra los dispositivos conectados. No es la primera vez que este tipo de dispositivos son noticia por el descubrimiento de bugs, pero el agujero que nos ocupa es singularmente grave por sus implicaciones.
De acuerdo con Check Point, las vulnerabilidades de las lámparas Hue se pueden aprovechar utilizando un exploit del protocolo ZigBee, utilizado en la gama de iluminación inteligente de Philips entre otros muchos aparatos domóticos.
La secuencia comienza con el atacante aprovechando una vulnerabilidad ya conocida para modificar el brillo de una lámpara para hacer creer a su usuario legítimo que tiene un problema. La lámpara se muestra erróneamente como no accesible en la aplicación de control, y el usuario trata de reiniciarla en busca de una solución. Para ello, la lámpara se desconecta y se indica al dispositivo bridge o puente (el centro de control independiente que gestiona las lámparas del hogar) que vuelva a agregarla.
Cuando esta bombilla es reincorporada a la red del dispositivo bridge, su firmware ha sido actualizado con una versión que contiene código malicioso. Este código explota las mencionadas vulnerabilidades del protocolo ZigBee para lanzar un ataque de desbordamiento de búfer basado en pila que a su vez permite instalar malware en el centro de control. Una vez infectado el aparato, la red Wi-Fi queda en peligro. A partir de ese momento es posible utilizar diversos exploits para diseminar malware entre los equipos conectados.
Check Point informó a Philips en noviembre del año pasado y la firma elaboró un parche para atajar el fallo. Ahora que ha pasado el tiempo concedido como margen de seguridad, los investigadores han decidido hacer público su descubrimiento para dar testimonio del bug y su potencial. Como medida de seguridad, se recomienda que todos los usuarios de un sistema de lámparas Hue actualicen el firmware si aún no lo han hecho.
De acuerdo con Check Point, las vulnerabilidades de las lámparas Hue se pueden aprovechar utilizando un exploit del protocolo ZigBee, utilizado en la gama de iluminación inteligente de Philips entre otros muchos aparatos domóticos.
La secuencia comienza con el atacante aprovechando una vulnerabilidad ya conocida para modificar el brillo de una lámpara para hacer creer a su usuario legítimo que tiene un problema. La lámpara se muestra erróneamente como no accesible en la aplicación de control, y el usuario trata de reiniciarla en busca de una solución. Para ello, la lámpara se desconecta y se indica al dispositivo bridge o puente (el centro de control independiente que gestiona las lámparas del hogar) que vuelva a agregarla.
Cuando esta bombilla es reincorporada a la red del dispositivo bridge, su firmware ha sido actualizado con una versión que contiene código malicioso. Este código explota las mencionadas vulnerabilidades del protocolo ZigBee para lanzar un ataque de desbordamiento de búfer basado en pila que a su vez permite instalar malware en el centro de control. Una vez infectado el aparato, la red Wi-Fi queda en peligro. A partir de ese momento es posible utilizar diversos exploits para diseminar malware entre los equipos conectados.
Check Point informó a Philips en noviembre del año pasado y la firma elaboró un parche para atajar el fallo. Ahora que ha pasado el tiempo concedido como margen de seguridad, los investigadores han decidido hacer público su descubrimiento para dar testimonio del bug y su potencial. Como medida de seguridad, se recomienda que todos los usuarios de un sistema de lámparas Hue actualicen el firmware si aún no lo han hecho.
Antes leí que existe un inodoro inteligente. [qmparto] [qmparto]
La programacion horaria de su funcionamiento? Cambiar su intensidad/color? Divago porque yo nunca he tenido una bombilla de éstas.......
Sí: Pijadas inútiles.
No meto una mierda de estas en casa ni loco y todo para encender bombillas sin levantar el culo.
Reconozco que es un capricho, pero si puedes y quieres darte el gusto hazlo
Una domotización "barata" con control de voz (Alexa) y que funciona a las mil maravillas, amén de la programación horaria y por ubicación.
A esperar una actualización de seguridad y arreando, y sabiendo como funciona la vulnerabilidad me preocupa poco (Amén de que, siendo honestos, ni dios va a intentar esto en un barrio cualquiera xDD)