Систему «умных лампочек» от Philips можно взломать и удаленно отключить свет

Систему «умных лампочек» от Philips можно взломать и удаленно отключить свет

Уязвимость «вечного затмения» становится доступной для эксплуатации во время идентификации устройства-контроллера.

Систему «умного освещения» Hue от Philips можно взломать и получить над ней полный контроль. Об этом сообщает ИБ-эксперт Нитеш Данджани (Nitesh Dhanjani).

По его словам, уязвимость «вечного затмения» становится доступной для эксплуатации во время идентификации устройства-контроллера. Система использует хэш MAC-адреса устройства, чтобы создать маркер аутентификации.

«Секретный маркер списка не является случайным... Благодаря этому уязвимость является доступной для вредоносного ПО, сохраненного во внутренней сети и способного перехватить MAC-адрес активной системы (посредством кэш ARP инфицированной машины)», - сообщает Данджани.

Если злоумышленник находится в пределах распространения беспроводной сети, к которой подключена Hue, то он с легкостью сможет выбрать необходимый для взлома и дачи команд адрес.

В рамках демонстрации исследователь решил использовать команду «Выключить свет». Главной проблемой является то, что для взлома обязательно необходимо использовать MAC-адрес, поскольку обычные пользователи не имеют прав управления Hue.

«Неавторизованное устройство не имеет никакой административной функциональности. Учитывая тот факт, что авторизация проходит с использованием MAC-адреса, то уже авторизованный пользователь сможет в дальнейшем контролировать систему», - заявил эксперт, подчеркивая, что сам владелец Hue может не подозревать о взломе.

Кроме того, Данджани сообщает, что контроль над системой можно также получить через специальное приложение. Для того чтобы использовать этот метод, пользователю необходимо ввести 6-значный пароль.

Помимо прочего Hue поддерживает различные комманды. Например, если пользователь внес команду менять цвет в зависимости от тона фотографии на Facebook, то отправка черного изображения приведет к отключению системы.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!