Philips dicht beveiligingslek in slimme Hue-lamp
Philips heeft een beveiligingslek in de slimme Hue-lamp gedicht waardoor aanvallers de apparaten konden overnemen. Onderzoekers van het Weizmann Institute of Science en de Canadese Dalhousie University ontdekten dat het mogelijk was om de lamp op een afstand van 70 meter te infecteren.
Het zou daarbij zelfs mogelijk zijn om een worm te maken die zich van de ene naar de andere lamp verspreidt. Vervolgens kan een aanvaller alle lichten in het gebied aan of uit doen wat invloed op de stroomvoorziening kan hebben, op grote schaal epileptische aanvallen veroorzaken door de lampen in een bepaalde frequentie te laten knipperen, ze permanent beschadigen of ze voor een ddos-aanval gebruiken. Het onderliggende probleem dat de onderzoekers blootlegden bevindt zich in het ZigBee-protocol voor draadloze communicatie.
Er bleek een grote fout in de implementatie in een gedeelte van het ZigBee-protocol te zitten dat aanvallen zoals die van de onderzoekers juist moet voorkomen. Daarnaast ontwikkelden ze een nieuwe side channel-aanval om de encryptiesleutel te achterhalen die Philips gebruikt voor het versleutelen en authenticeren van nieuwe firmware. Met apparatuur van een paar honderd dollar lukte het de onderzoekers om deze encryptiesleutel te bemachtigen, waarmee ze vervolgens hun eigen firmware op de lampen konden installeren.
Om de lampen met de kwaadaardige firmware te infecteren moeten die eerst met het netwerk van de onderzoekers verbinding maken. Hiervoor ontwikkelden de onderzoekers een volledig autonome kit die zowel via drones als vanuit een auto kan worden gebruikt om ZigBee-netwerken aan te vallen. Eenmaal met de worm besmet kan een Hue-lamp andere lampen in de buurt aanvallen, waardoor in korte tijd alle lampen in een bepaald gebied geïnfecteerd worden. Na te zijn ingelicht door de onderzoekers kwam Philips met een update die nu is te downloaden. Hieronder een videodemonstratie van de drone-aanval. Meer informatie is te vinden op de website van de onderzoekers en hun rapport "IoT Goes Nuclear: Creating a ZigBee Chain Reaction" (pdf).
Firmware updates o.t.a toelaten?!? WTF, gebruik daar dan een microUSB voor!
Is dat meer dan een "goto" fout?
Is dat meer dan PMD zou hebben gevonden?
Is een "grote fout" dan toch kleiner? Of was de code niet gelezen door twee programmeurs?
Update: Ik zag nog geen reacties, voor mij 18:31, nu wel (leuke). Moderatie gaat met vertraging.
Een mooie toekomst of een nachtmerrie ?
Ik hoop dat philips ooit een firewall in mijn gloeilampen inbouwd.
Ben blij dat ik - bijna krasse knar - nog een flinke doos 'domme gloeilampen' van Frits Flupkes heb.
Ik vind dit relatief nieuwe filament-type ledlampen wel mooi en prettig:
https://upload.wikimedia.org/wikipedia/commons/6/6a/LEDfilamentLightBulbE27.jpg
Met de hittegolven, afgelopen zomer, vond ik het erg prettig om wat ledlampjes te gebruiken, in plaats van gloeilampen die het 's avonds nog warmer maken binnen.
Ik hoop dat philips ooit een firewall in mijn gloeilampen inbouwt.
Niks mis met gloeilampen, en ook niet met moderne 'domme' ledlampen.
Maar dat wist je natuurlijk best wel ;-)
Het mooie van zon ouderwets systeem is dat het cumulatief veel energiezuiniger is. Als de schakelaar op uit staat wordt er 0 miliwatt verbruikt. Dat is wel anders dan de stand-by stroom van al die slimme aansturingen, die blijven energie verbruiken ondanks dat je misschien een wereldreis van een half jaar maakt.
Daarnaast is er elektronica die vaak van dermate slechte kwaliteit is dat er regelmatig iets vervangen moet worden, leuk voor de fabrikant en de economie, maar niet voor de gebruiker en de afvalberg. Het produceren van deze producten kost trouwens ook energie.
Ben blij dat ik - bijna krasse knar - nog een flinke doos 'domme gloeilampen' van Frits Flupkes heb.
Ik vind dit relatief nieuwe filament-type ledlampen wel mooi en prettig:
https://upload.wikimedia.org/wikipedia/commons/6/6a/LEDfilamentLightBulbE27.jpg
Met de hittegolven, afgelopen zomer, vond ik het erg prettig om wat ledlampjes te gebruiken, in plaats van gloeilampen die het 's avonds nog warmer maken binnen.
Zeker een uitvinding die dingen. Aan de andere zijn een paar 60 of 100 W vintage Filament lampen gedimd naar 40% en boven de keukentafel heerlijk op een donkere frisse winterochtend of winteravond. Veel aangenamer dan de verwarming flink heet zetten. Ook het goudkleurige licht kan door geen enkele led-lamp ge-evenaard worden. In de zomer kun je ze verwisselen met dimbare led filament lampen. Of wees creatief en maak hybride fittingen met ledstrips en mat glas om de fitting voor in de zomer en de gloeilamp erin voor in de winter.
Alleen mag dat van Europa niet meer. Gloeilampen worden niet meer gemaakt en halogeenlampen zijn vanaf medio 2017 verboden geproduceerd te worden.
Inslaan wat je kan inslaan dus. Dit gaat geld waard worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
