Categories: Workspace

Philips stopft Sicherheitslücke in Philips Hue-Lampen

In einer vergleichsweise spektakulären Aktion haben Forscher des Weizmann Institute of Science in Israel und der Dalhousie University im kanadischen Halifax auf Schwachstellen in den intelligenten Lampen der Reihe Philips Hue aufmerksam gemacht. Sie hatten den Hersteller, bevor sie jetzt ihre Erkenntnisse veröffentlicht haben, bereits informiert. Philips hat die Sicherheitslücke Anfang Oktober mit einem Update geschlossen.

Für ihren Angriff nutzten die Forscher eine Lücke in der Philips-Implementierung der Komponente Touchlink des Funkprotokolls Zigbee Light Link aus. Dort soll die Komponente Touchlink derartige Angriffe, wie sie die Forscher durchführten, eigentlich verhindern. Den Forschern war es aber eigenen Aussagen zufolge mit gängiger Standardausrüstung im Wert von einigen Hundert Dollar möglich, mittels einer Side-Channel-Attacke den von Philips in den Hue-Lampen verwendeten, globalen AES-CCM-Schlüssel herauszufinden. „Das zeigt wieder einmal, wie schwierig es ist, Sicherheit richtig umzusetzen, selbst für eine so große Firma die Standard-Kryptographietechniken benutzt, um eines ihrer wichtigsten Produkte zu schützen“, so die Forscher.

Nachdem die Forscher an die nötigen Informationen gelangt waren, belegten sie die praktische Durchführbarkeit eines Angriffs. Sie befestigten dazu ein Evaluierungsboard mit der für den Angriff notwendigen Hardware an einer Drohne. Im Anschluss starteten sie die Drohne in einer Entfernung von 350 Metern von einem Bürogebäude mit Philips-Hue-Lampen in der israelischen Stadt Beer Sheva, indem neben einigen bekannten Firmen auch das israelische CERT untergebracht ist.

Die Kamera der Drohne zeigte dann, wie bereits aus größerer Entfernung die Manipulation an den Lampen einsetzte. Sobald die Drohne näher an das Gebäude herankam, und damit die auf relativ kurze Entfernungen ausgelegte ZigBee-Verbindung auch immer stabiler wurde, wurde auch das durch die manipulierte Firmware verursachte Flackern der Lichter regelmäßiger. Schließlich zeigte sich, als die Forscher die Lichter im Takt des Morse-Codes „SOS“ senden ließen, dass sie komplett übernommen wurden.

Von dem Angriff war nun Philips betroffen, dass offenbar bei der Implementierung von ZigBee Light Link für die von ihm bei der Markteinführung 2012 als „smarteste LED-Lampe der Welt“ beworbene Hue-Reihe Fehler gemacht hat. ZigBee Light Link wird allerdings als weit verbreiteter Standard in der Branche in zahlreichen „smarten“ Leuchtmitteln zur Kommunikation untereinander und mit dem Controller verwendet. Da die Produkte der Hersteller kompatibel sind – was aus Sicht der Verbraucher ja zunächst einmal zu begrüßen ist – kann der Fehler allerdings dazu führen, dass auch andere angreifbar werden. An der Entwicklung von ZigBee Light Link waren neben Philips unter anderem auch GE, Greenwave, Osram und Sylvania beteiligt, die den Standard in ihren Produkten ebenfalls nutzen.

Philips hat Smart-Home-Angebot Ende August weiter ausgebaut und 26 neue Leuchten und erstmals auch einen Bewegungsmelder eingeführt. Die vernetzten Geräte können über Philips‘ eigene Hue-App oder über kompatible Drittanbietersysteme wie Google Nest konfiguriert und gesteuert werden.


[Mit Material von Peter Marwan, silicon.de]

HIGHLIGHT

Überblick zu IoT-Standards

Im Bereich IoT gibt es zahlreiche Initiativen und Konsortien. Bislang laufen deren Bestrebungen jedoch überwiegend parallel nebeneinander her. Doch damit dies alles überhaupt funktionieren kann, braucht man neben neuen Produkten auch neue Standards – insbesondere für die Kommunikation der Geräte untereinander und für die Sicherheit. Die ZDNet-Schwestersite silicon.de gibt einen Überblick.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago