image

Onderzoekers laten malware data via smartlamp versturen

dinsdag 28 augustus 2018, 14:11 door Redactie, 8 reacties

Onderzoekers van de Universiteit van Texas hebben laten zien hoe smartlampen door malware gebruikt kunnen worden om data van besmette systemen zoals computers en smartphones te versturen. Ook is het mogelijk om via smartlampen de muziek- en filmvoorkeuren van gebruikers te achterhalen (pdf).

De afgelopen jaren zijn smartlampen steeds populairder geworden. De lampen zijn vaak op afstand te bedienen via wifi, Bluetooth of een Zigbee-netwerk. Daarnaast kunnen de lampen over infraroodmogelijkheden beschikken en ondersteunen ze een feature genaamd multimedia-visualisatie. De onderzoekers maakten van deze eigenschappen gebruik om drie soorten aanvallen te ontwikkelen.

De eerste twee aanvallen richten zich op het op passieve wijze achterhalen van de muziek- en filmvoorkeuren van de gebruiker. Hiervoor wordt er gebruik gemaakt van multimedia-visualisatie. Smartlampen gebruiken deze feature om de lichtkleur aan te passen aan de muziek die de gebruiker aan het luisteren is of de video die bekeken wordt. Een aanvaller die zicht op de lampen heeft kan zo de muziek- en videovoorkeuren van de gebruiker achterhalen.

Bij een test met 100 muzieknummers lukte het de onderzoekers om 51 nummers te achterhalen en in 82 gevallen werd het muziekgenre succesvol vastgesteld. Ook bij films lukte het de onderzoekers aan de hand van de lichtveranderingen van de smartlamp om te bepalen waar de gebruiker naar kijkt.

Malware

Voor de derde aanval werd gekeken hoe smartlampen zijn te gebruiken om data te versturen van computers of smartphones die met malware besmet zijn geraakt en bijvoorbeeld niet over een internetverbinding beschikken. Hiervoor maakten de onderzoekers gebruik van de infraroodmogelijkheden van de smartlamp. Malware op bijvoorbeeld de smartphone kan verzamelde data encoderen en via het infraroodlicht versturen. Het voordeel hiervan is dat het menselijke oog geen infrarood waarneemt, waardoor dit "covert channel" langer onopgemerkt blijft. De onderzoekers stellen dat de maximale bandbreedte voor de dataoverdracht 32 bits per seconde bedraagt.

De aanval is mogelijk op zogeheten hubloze smartlampen, zoals LIFX, door het ontbreken van permissie-instellingen voor het bedienen van de lichten binnen het lokale netwerk. De aanval is ook mogelijk in het geval van smartlampen die via een hub verbinding maken, maar dan alleen als de hub niet over permissie-instellingen beschikt. De Philips Hue beschikt wel over dergelijke 'permission controls' en is dan ook niet te gebruiken voor deze aanval. Daarnaast biedt de Hue geen smartlampen die over infraroodmogelijkheden beschikken.

Gordijnen

Om dergelijke aanvallen te voorkomen hebben eigenaren van een smartlamp verschillende mogelijkheden, zoals het gebruik van gordijnen of raamfolie. Ook kan de maximale helderheid van de lampen worden beperkt. Verder kunnen er netwerkregels worden opgesteld zodat computers en smartphones de smartlampen niet via een ip-netwerk kunnen bedienen.

Image

Reacties (8)
28-08-2018, 14:29 door Anoniem
En via een smartlap door regelmatig hele korte praktisch onhoorbare aanpassingen te maken (de bits) in de "muziek". : )
28-08-2018, 14:56 door Bitwiper
Door Anoniem: En via een smartlap
Huh?! Heb ik het nieuws over de uitvinding van de via internet te starten zelfafdrogende theedoek gemist?
28-08-2018, 15:07 door Anoniem
Verder kunnen er netwerkregels worden opgesteld zodat computers en smartphones de smartlampen niet via een ip-netwerk kunnen bedienen.
conclusie: koop een domme lamp! Wat is er smart aan een lamp die geen netwerk verkeer mag hebben...?

TheYOSH
28-08-2018, 18:17 door Anoniem
Door Bitwiper:
Door Anoniem: En via een smartlap
Huh?! Heb ik het nieuws over de uitvinding van de via internet te starten zelfafdrogende theedoek gemist?
Je kan het zelf bedenken.
Het is technisch mogelijk maar moet nog wel even gerealiseerd worden.

Dit geldt niet alleen voor een smartlap maar de meeste meeblèr-muziek.
Doordat iedereen zo hard meeblèrt merkt men niets van kleine afwijkingen. ;)
28-08-2018, 20:04 door Anoniem
Wow. Een aanvaller met zicht op de verlichting in de 'disco' stand kan de muziek afleiden.

Dezelfde aanvaller kan dat op die afstand gewoonlijk ook wel horen - eventueel geholpen met een richtmicrofoon.

En stuurbare infrarood kan data overdragen . No shit, Sherlock.

Applaus voor de student (van theorie naar werkende opstelling is echt wel een goed cijfer waard) maar verder echt niet wereldschokkend.
29-08-2018, 07:30 door Anoniem
Een smartlamp...
Dát had ik nou altijd al willen hebben!
29-08-2018, 08:17 door Anoniem
Daarom doe ik altijd de gordijnen dicht als ik muziek luister.
03-09-2018, 08:24 door spatieman
google smartlight, gekopelt aan google creditcard, u luistert muziek die niet via ons systeem gekocht is worden.
de stroom word nu via de google slimme meter uitgezet......
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.