image

Hacker kraakt slim lichtsysteem Philips (video)

woensdag 14 augustus 2013, 14:09 door Redactie, 4 reacties

Een onderzoeker heeft verschillende problemen in het slimme lichtsysteem van Philips ontdekt, die het mogelijk maken om gebruikers permanent in het donker te laten zitten. Het Hue personal wireless system is via de App Store en andere winkels verkrijgbaar en bestaat uit draadloze LED-lampen en een wireless bridge. De lampjes zijn zo in te stellen dat ze 16 miljoen kleuren kunnen weergeven en zijn zowel via de bijbehorende Android of iOS app als de Hue website te bedienen.

Volgens onderzoeker Nitesh Dhanjani was het een logische keuze om de veiligheid van het systeem te testen, aangezien licht van essentieel belang voor de fysieke veiligheid is. Hij verwacht dat slimme lichtsystemen zowel in woning als kantoren zullen worden uitgerold.

Het systeem dat wordt gebruikt om de apparaten te authenticeren die toegang mogen hebben, maakt het mogelijk dat aanvallers de lichten in de huizen van anderen kunnen uitschakelen. Een aanvaller zou een "oneindige blackout" kunnen veroorzaken door malware te gebruiken, zo laat de onderzoeker weten.

Tokens

De Hue bridge gebruikt een whitelist van geassocieerde tokens om verzoeken te authenticeren. Elke gebruiker op hetzelfde netwerkgedeelte als de bridge kan HTTP-opdrachten geven om de staat van de LED-lamp aan te passen. Hiervoor moet de gebruiker wel één van de gewhiteliste tokens kennen.

Uit onderzoek van Dhanjani blijkt dat het geheime whitelist token niet willekeurig is, maar de MD5-hash van het MAC-adres van de desktop, laptop, iPhone of iPad gebruikt. Hierdoor zou malware op het interne netwerk het MAC-adres kunnen opvangen en hiervan de MD5-waarde berekenen. Vervolgens kan de malware de opdracht geven om het licht uit te schakelen.

Wachtwoord

Een ander probleem vond de onderzoeker op de website waarmee eigenaren de lampen kunnen instellen. Gebruikers mogen een wachtwoord van minimaal zes karakters aanmaken. De pagina biedt wel bescherming tegen brute force aanvallen, aangezien het inloggen na twee verkeerde pogingen een minuut onmogelijk wordt gemaakt.

Toch bestaat het risico dat gebruikers hun wachtwoord hergebruiken. Hierdoor zou een wachtwoord dat via een andere website wordt gelekt aanvallers de mogelijkheid geven om de verlichting uit te schakelen.

Geen reactie

De onderzoeker waarschuwde Philips via Twitter en vroeg om een e-mailadres om het probleem beter uit te leggen, maar kreeg nooit een reactie. "Het is belangrijk dat Philips en andere consumentorganisaties in een tijdperk van malware en krachtige botnets dit soort problemen serieus nemen. Het is belangrijk dat de huizen van mensen niet dit soort beveiligingslekken bevatten die fysieke gevolgen kunnen hebben."

Reacties (4)
14-08-2013, 14:25 door Anoniem
Oke dit vindt ik grappig:P
14-08-2013, 16:59 door Anoniem
waarom moeilijk doen als het makkelijk kan, er bestaat ook nog zoiets als een simpele aan/uit lichtschakelaar, verkrijgbaar bij iedere doe-het-zelf bouwmarkt e.d. Niet te hacken en werkt altijd.
14-08-2013, 17:36 door Anoniem
Ik verwachtte een reverse shell op die bridge ofzo, maar dit is ook wel geinig. Het voelt ook niet echt als een veilig systeem, als je het in gebruik neemt overigens. Wel super handig!
14-08-2013, 23:08 door Anoniem
Als je zo'n stekkerdoos met afstandsbediening koopt bij de bouwmarkt kunnen anderen met dezelfde afstandsbediening ook bij jou het licht uitdoen als ze dichtbij genoeg zijn... Met een universele afstandsbediening zet je alle tv's in de buurt uit als je een rondje langs alle ramen loopt... Als je een brievenbus hebt kunnen mensen er ook door naar binnen plassen... Heel vervelend, maar sommige risico's accepteer je gewoon bij consumentenproducten.

Als iemand het licht in mijn kamer uit kan doen als hij malware op mijn pc heeft op op mijn interne netwerk zit dan is dat denk ik wel het laatste waar ik me zorgen over maak...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.