Philips Hue: kwetsbaarheid gaf hackers toegang tot complete netwerk gebruiker

Door een kwetsbaarheid in de Philips Hue-producten konden hackers toegang krijgen tot het complete netwerk van de gebruiker. Hoewel het risico blijft bestaan, heeft fabrikant Signify nu een update uitgebracht die moet voorkomen dat dit gebruikers overkomt.

De kwetsbaarheid was ontdekt in het communicatieprotocol Zigbee waar Philips Hue gebruik van maakt. Dat protocol komen we ook tegen in andere smarthomeproducten, zoals die van Amazon, Samsung, Belkin, Hive, Yale, Honeywell, Bosch en Ikea. Het is de onderzoekers van Check Point gelukt het netwerk binnen te komen door slechts één lamp over te nemen.

Lek in Philips Hue-netwerk

Kwaadwillenden kunnen een oud lek, dat oorspronkelijk in 2016 ontdekt werd, misbruiken om één van de slimme lampen binnen het netwerk over te nemen. Door de lamp willekeurig gedrag mee te geven (zoals helderheid en kleuren aanpassen), moet de eigenaar van zo’n lamp gestimuleerd worden die te verwijderen en opnieuw toe te voegen aan het Hue-netwerk. Dat is het moment waarop de malware naar de Hue-bridge gebracht wordt, waardoor kwaadwillenden ineens toegang hebben tot je complete netwerk.

Philips Hue 2020
Philips Hue (Afbeelding: Bol)

Zo kunnen bijvoorbeeld ook computers en andere slimme apparaten gecompromitteerd worden, waardoor er software als keyloggers en ransomware op je apparaten kan verschijnen.

Check Point heeft de resultaten van het onderzoek al in november met Signify, het bedrijf achter Philips Hue, gedeeld. Sinds medio januari is er een patch beschikbaar, die je als het goed is al op je bridge hebt staan.  Check dus snel of er nog een update beschikbaar is binnen de app. Is die er nu niet, dan heb je de meest recente softwareversie. Dat geldt natuurlijk helemaal als je de updates automatisch binnenhaalt en installeert.

De originele kwetsbaarheid kan helaas niet verholpen worden, want daarvoor is nieuwe hardware nodig. Deze patch zorgt er in elk geval voor dat de kwaadaardige software niet verspreid kan worden naar andere apparaten.

Reactie van Signify

Tegenover Smarthome Magazine laat Signify weten dat er geen nieuwe hardware nodig is om het probleem in de kern op te lossen. Volgende maand moet er een update verschijnen die het probleem de wereld uit helpt. De Philips Hue-lampen die de meest recente hardwareconnectiviteitsgeneratie gebruiken, bevatten geen kwetsbaarheid voor software-updates.

Reageer op artikel:
Philips Hue: kwetsbaarheid gaf hackers toegang tot complete netwerk gebruiker
Sluiten