Za Philipsove pametne žarnice Hue se je že leta 2016 pokazalo, da so dovzetne za vdore na daljavo. V takratnem poskusu je raziskovalcem uspelo žarnice onemogočiti na daljavo z letečim dronom, okužba pa se je širila od žarnice do žarnice, ne glede na to, ali so bile povezane v enako zasebno omrežje ali ne. V najslabšem primeru bi lahko to povzročilo kaos v mestu, kjer je na milijone med seboj povezanih pametnih naprav.
Philips in ostali proizvajalci so varnostno luknjo sicer zakrpali, raziskovalci iz varnostnega podjetja Check Point Software pa so odkrili še večjo varnostno luknjo, ki bi napadalcem lahko omogočila tudi dostop do ostalih naprav v omrežju (računalnikov, telefonov, televizijskih sprejemnikov ipd.), ne le do žarnic in nadzornih sistemov za žarnice. S podobno tehniko kot leta 2016 je raziskovalcem uspelo naložiti zlonamerno programsko kodo na eno žarnico, ki se je pričela obnašati zelo nenavadno (hitro utripanje, naključno spreminjanje odtenka svetlobe).
S tem uporabnika pretentajo v odstranitev in ponovni vpis žarnice v omrežje, kar kontrolni sistem preobremeni do te mere, da programska koda prevzame nadzor nad njim. Od te točke dalje imajo napadalci prosto pot do preostanka omrežja, saj so kontrolniki povezani na domači usmerjevalnik, na katerega so povezane tudi ostale naprave. Napad se za delovanje zanaša na pomanjkljivost v ZigBee komunikacijskem protokolu, ki ga uporablja tudi veliko število drugih pametnih naprav različnih proizvajalcev: Samsung, Belkin, Amazon, Ikea, Honeywell itd.
Check Point je Philips o varnostni luknji že obvestil lanskega novembra, sredi letošnjega januarja pa je bil izdan popravek – različica 1935144040, ki bi že morala biti nameščena, če imate vključeno možnost samodejnega posodabljanja. V nasprotnem primeru bo treba popravek ročno prenesti. Popravek morebitnim napadalcem onemogoči dostop do preostanka omrežja, vendar je sam dostop do žarnic še vedno mogoč, ravno tako bodo napadalci še vedno lahko preskakovali med žarnicami. Slednje je mogoče zato, ker gre za strojno pomanjkljivost v žarnicah, ki je ni mogoče odpraviti s posodobitvijo programske opreme.
Ob tem se poraja vprašanje, koliko varnostnih lukenj ostaja prikritih v Philipsovih Hue žarnicah in ostalih napravah, ki se za komunikacijo zanašajo na ZigBee protokol. Varnostni raziskovalci že od samega začetka opozarjajo na varnostno tveganje, ki ga predstavljajo pametne naprave, kar pa ni ustavilo ne proizvajalcev ne kupcev.
Uvodna fotografija: Philips
