Aggiornate il firmware delle lampadine Philips Hue: rischio di attacco hacker

I ricercatori di sicurezza Check Point hanno individuato una vulnerabilità delle lampadine smart Philips Hue che può portare un malintenzionato a condurre un attacco per prendere il controllo della rete domestica della vittima. La vulnerabilità riguarda l'uso del protocollo ZigBee da parte delle lampadine Philips Hue.

Check Point ha informato Signify, la parent company di Philips Hue, condividendo i dettagli della vulnerabilità e dando modo così di realizzare un firmware già in corso di distribuzione così che sia possibile aggiornare tutte le lampadine Philips Hue interessate dal problema. Nel rispetto del protocollo che Check Point adotta per la divulgazione delle vulnerabilità di sicurezza, i dettagli completi della vulnerabilità saranno resi pubblici nel giro delle prossime settimane per consentire l'adeguata diffusione e distribuzione della patch correttiva agli utenti.

ZigBee è un protocollo di comunicazione abbastanza diffuso in ambito IoT/smarthome e che permette ai dispositivi di comunicare agevolmente tra loro. CheckPoint spiega che un attaccante potrebbe utilizzare un'antenna ZigBee e prendere il controllo di una lampadina Philips Hue per simulare un malfunzionamento ed estrometterla dalla rete dei dispositivi, non prima di aver inserito un malware nella lampadina stessa. A questo punto se l'utente cerca di riportare la lampadina all'interno della rete utilizzando l'app Hue, il malware può diffondersi dalla lampadina all'Hue Bridge (il dispositivo hardware di controllo dei vari elementi Philips Hue), che a sua volta è connesso al router domestico. Una volta che il malware raggiunge Hue Bridge, l'attaccante ha la possibilità di accedere al resto della rete con la possibilità di mettere in atto ulteriori attacchi.

A coloro i quali sono in possesso di lampadine Philips Hue si consiglia pertanto di accedere all'app Hue e controllare la disponibilità di aggiornamenti e installarli il prima possibile - anche se nella maggior parte dei casi potrebbero essere attivi gli aggiornamenti automatici. La versione del firmware che risolve la vulnerabilità è la numero 1935144040

Yaniv Balmas, ricercatore per Check Point Research, avverte: "Molti di noi sono consapevoli che i dispositivi IoT possono porre un rischio di sicurezza, ma la ricerca mostra che anche i dispositivi più ordinari e 'stupidi' come le lampadine possono essere sfruttati da hacker e usati per prendere controllo di reti o installare malware".

Attualmente non è chiaro se la stessa tecnica possa essere usata per attaccare altri dispositivi smart home basati su Zigbee, protocollo usato, tra gli altri, da Amazon Echo Plus, Belkin WeMo e la linea di dispositivi Tradfri di Ikea.

Aggiornamento 7 febbraio

Signify ha condiviso la sua posizione ufficiale sulla vicenda, che riportiamo integralmente di seguito:

"La segnalazione di Checkpoint Security ci è pervenuta lo scorso novembre e, già alcune settimane fa, abbiamo rilasciato un aggiornamento correttivo. La falla individuata da Checkpoint Security risale ad una ricerca condotta nel 2017 ed è oggi stata ampiamente risolta. Inoltre, nell’ipotesi che un malintenzionato volesse assumere il controllo delle lampadine Philips Hue, dovrebbe non solo trovarsi in prossimità del luogo in cui è stato installato il sistema di illuminazione connesso ma anche essere tra i massimi esperti nel campo dell’ingegneria sociale. In pratica, un malintenzionato potrebbe sfruttare a proprio vantaggio questa vulnerabilità hackerando il bridge Philips Hue accedendo da una lampadina compromessa. Tuttavia, prima ancora che i risultati della ricerca fossero resi pubblici, abbiamo corretto il malfunzionamento. Pertanto, il rischio di un attacco all’interno propria rete domestica è molto ridotto ma, con l’obiettivo di ridurre qualsiasi intrusione sgradita, consigliamo di aggiornare i propri prodotti Philips Hue con regolarità"