Aggiornate il firmware delle lampadine Philips Hue: rischio di attacco hacker

Aggiornate il firmware delle lampadine Philips Hue: rischio di attacco hacker

Una vulnerabilità nelle lampadine smart Philips Hue può consentire l'accesso alla rete domestica. E' necessario aggiornare il firmware il prima possibile

di pubblicata il , alle 19:21 nel canale Casa
PhilipsSignify
 

I ricercatori di sicurezza Check Point hanno individuato una vulnerabilità delle lampadine smart Philips Hue che può portare un malintenzionato a condurre un attacco per prendere il controllo della rete domestica della vittima. La vulnerabilità riguarda l'uso del protocollo ZigBee da parte delle lampadine Philips Hue.

Check Point ha informato Signify, la parent company di Philips Hue, condividendo i dettagli della vulnerabilità e dando modo così di realizzare un firmware già in corso di distribuzione così che sia possibile aggiornare tutte le lampadine Philips Hue interessate dal problema. Nel rispetto del protocollo che Check Point adotta per la divulgazione delle vulnerabilità di sicurezza, i dettagli completi della vulnerabilità saranno resi pubblici nel giro delle prossime settimane per consentire l'adeguata diffusione e distribuzione della patch correttiva agli utenti.

ZigBee è un protocollo di comunicazione abbastanza diffuso in ambito IoT/smarthome e che permette ai dispositivi di comunicare agevolmente tra loro. CheckPoint spiega che un attaccante potrebbe utilizzare un'antenna ZigBee e prendere il controllo di una lampadina Philips Hue per simulare un malfunzionamento ed estrometterla dalla rete dei dispositivi, non prima di aver inserito un malware nella lampadina stessa. A questo punto se l'utente cerca di riportare la lampadina all'interno della rete utilizzando l'app Hue, il malware può diffondersi dalla lampadina all'Hue Bridge (il dispositivo hardware di controllo dei vari elementi Philips Hue), che a sua volta è connesso al router domestico. Una volta che il malware raggiunge Hue Bridge, l'attaccante ha la possibilità di accedere al resto della rete con la possibilità di mettere in atto ulteriori attacchi.

A coloro i quali sono in possesso di lampadine Philips Hue si consiglia pertanto di accedere all'app Hue e controllare la disponibilità di aggiornamenti e installarli il prima possibile - anche se nella maggior parte dei casi potrebbero essere attivi gli aggiornamenti automatici. La versione del firmware che risolve la vulnerabilità è la numero 1935144040

Yaniv Balmas, ricercatore per Check Point Research, avverte: "Molti di noi sono consapevoli che i dispositivi IoT possono porre un rischio di sicurezza, ma la ricerca mostra che anche i dispositivi più ordinari e 'stupidi' come le lampadine possono essere sfruttati da hacker e usati per prendere controllo di reti o installare malware".

Attualmente non è chiaro se la stessa tecnica possa essere usata per attaccare altri dispositivi smart home basati su Zigbee, protocollo usato, tra gli altri, da Amazon Echo Plus, Belkin WeMo e la linea di dispositivi Tradfri di Ikea.

Aggiornamento 7 febbraio

Signify ha condiviso la sua posizione ufficiale sulla vicenda, che riportiamo integralmente di seguito:

"La segnalazione di Checkpoint Security ci è pervenuta lo scorso novembre e, già alcune settimane fa, abbiamo rilasciato un aggiornamento correttivo. La falla individuata da Checkpoint Security risale ad una ricerca condotta nel 2017 ed è oggi stata ampiamente risolta. Inoltre, nell’ipotesi che un malintenzionato volesse assumere il controllo delle lampadine Philips Hue, dovrebbe non solo trovarsi in prossimità del luogo in cui è stato installato il sistema di illuminazione connesso ma anche essere tra i massimi esperti nel campo dell’ingegneria sociale. In pratica, un malintenzionato potrebbe sfruttare a proprio vantaggio questa vulnerabilità hackerando il bridge Philips Hue accedendo da una lampadina compromessa. Tuttavia, prima ancora che i risultati della ricerca fossero resi pubblici, abbiamo corretto il malfunzionamento. Pertanto, il rischio di un attacco all’interno propria rete domestica è molto ridotto ma, con l’obiettivo di ridurre qualsiasi intrusione sgradita, consigliamo di aggiornare i propri prodotti Philips Hue con regolarità"

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Max(IT)06 Febbraio 2020, 19:39 #1
Già immagino le lampade come piccoli transformers in giro per casa...
Axios200606 Febbraio 2020, 20:08 #2
1990: nel 2000 la sicurezza informatica sara' ovunque.
2020: aggiornate di corsa il firmware delle lampadine!

Commento in generale sull'internet of thing...
\_Davide_/06 Febbraio 2020, 20:11 #3
C'è da dire che qui si parla di Philips e prodotti abbastanza studiati.

Se invece si punta ai prodotti più economici spesso la sicurezza è optional

Ho visto facilità di "irruzione" che questa a confronto è un film di fantascienza
fatantony06 Febbraio 2020, 20:33 #4
W i cari e vecchi interruttori
300007 Febbraio 2020, 00:19 #5
Easy, l'IoT in casa mia non entra.
puppatroccolo07 Febbraio 2020, 00:38 #6
Che farsa. Non è neanche l'1 aprile.
rockroll07 Febbraio 2020, 04:02 #7
Originariamente inviato da: 3000
Easy, l'IoT in casa mia non entra.


Manco in casa mia.

Questo voler introdurre ad ogni costo tecnologie di moda di cui nessuno sente il bisogno in ogni cavolata ed anche nella scelte più personali comincia a nausearmi; l'ingegno umano non deve essere sprecato in applicazioni assurde di questo genere!

Ma dico io, una lampadina deve fare la funzione di lampadina e basta, se mai sarà il comando di accensione a controllarla, e tale dispositivo non deve risiedere certo nella lampadina, e non ha nessun motivo di essere integrato in rete domestica in linea 24/7! I telecomandi, eventualmente temporizzati, li hanno inventati da un pezzo, o sbaglio?

Ma dico, vi rendete conto di quale follia collettiva si vorrebbe impadronire di ogni nostra cosa?
rampo8307 Febbraio 2020, 08:34 #8
Originariamente inviato da: rockroll
Manco in casa mia.

Questo voler introdurre ad ogni costo tecnologie di moda di cui nessuno sente il bisogno in ogni cavolata ed anche nella scelte più personali comincia a nausearmi; l'ingegno umano non deve essere sprecato in applicazioni assurde di questo genere!

Ma dico io, una lampadina deve fare la funzione di lampadina e basta, se mai sarà il comando di accensione a controllarla, e tale dispositivo non deve risiedere certo nella lampadina, e non ha nessun motivo di essere integrato in rete domestica in linea 24/7! I telecomandi, eventualmente temporizzati, li hanno inventati da un pezzo, o sbaglio?

Ma dico, vi rendete conto di quale follia collettiva si vorrebbe impadronire di ogni nostra cosa?


92 minuti di applausi
Darkon07 Febbraio 2020, 08:38 #9
Originariamente inviato da: rockroll
Manco in casa mia.

Questo voler introdurre ad ogni costo tecnologie di moda di cui nessuno sente il bisogno


Ma non ne sentirai il bisogno te. Se sempre più persone usano l'IoT un motivo ci sarà. Tanto per dire gli stessi discorsi li facevano nei tardi anni '90 su internet. Mi ricordo come fosse ora i miei che dicevano "ah questo internet è solo un pericolo per i giovani! Se facessero come facevamo noi!"

Ma dico io, una lampadina deve fare la funzione di lampadina e basta, se mai sarà il comando di accensione a controllarla, e tale dispositivo non deve risiedere certo nella lampadina


Oltre a non avere alcun senso così facendo se anche una persona volesse automatizzare una sola lampadina dovrebbe rifare tutto l'impianto ma poi che diamine cambia? Se metti la circuiteria nell'interruttore comunque saresti soggetto alle stesse identiche vulnerabilità. Semmai è preferibile mettere la circuiteria negli interruttori solo perché così quando si brucia la lampada basta una banale lampadina. Tenuto conto comunque che sono lampade a LED il problema è veramente remoto.

e non ha nessun motivo di essere integrato in rete domestica in linea 24/7!


Eh certo... utilissimo avere la domotica che va offline. Magari ho domotizzato l'illuminazione. Parto per il mare e cavolo ho spento tutte le luci? Se sono andate offline non posso controllare né variare niente. E di esempi ce ne sono a bizzeffe. La domotica ha un senso se posso controllarla sempre e da ovunque. Se funziona a tempo non è domotica... semplicemente una lampada con timer.

I telecomandi, eventualmente temporizzati, li hanno inventati da un pezzo, o sbaglio?


Si e non c'entrano una ceppa. Se hai bisogno di una luce temporizzata metti una luce temporizzata. La domotica NON è la stessa cosa e NON ha gli stessi utilizzi.


-----------------------


Detto ciò tutte queste vulnerabilità sono estremamente IMPROBABILI. Che non significa allora freghiamocene allegramente ma che se le reali chance che qualcuno penetri una rete basandosi su questo è bassa. Nel 90% dei casi le reti violate sono violate perché vengono scelte password banali, perché basta un po' di "ingegneria sociale" e ti danno la password come niente fosse e mille altri motivi molto più semplici che non richiedono competenze pazzesche.

Ma dico, vi rendete conto di quale follia collettiva si vorrebbe impadronire di ogni nostra cosa?


La domotica è in migliaia di case, probabilmente decine di migliaia. Internet e smartphone uguale. E non si è scatenata nessuna follia.

Una famosa pubblicità dice che "ci sono più dati sensibili sul tuo smartphone che non in casa tua" e secondo me è vero eppure nonostante vulnerabilità, app che sono spyware ecc... ecc... non è che è successo chissà che ecatombe.
omerook07 Febbraio 2020, 09:02 #10
Originariamente inviato da: Darkon
Tanto per dire gli stessi discorsi li facevano nei tardi anni '90 su internet. Mi ricordo come fosse ora i miei che dicevano "ah questo internet è solo un pericolo per i giovani! Se facessero come facevamo noi!"


.

Visti i recenti risultati ottenuti dai giovani nei test di comprensione dei testi mi sa che i tuoi amici avevano ragione!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^