Una vulnerabilidad de las Philips Hue puede permitir el acceso y control a las luces y puede escalar a través de la red

Una vulnerabilidad de las Philips Hue puede permitir el acceso y control a las luces y puede escalar a través de la red
10 comentarios Facebook Twitter Flipboard E-mail

Una vulnerabilidad de Philips Hue permite a un atacante tomar el control de las luces y poder apagarlas o encenderlas a voluntad así como cambiar el color y el brillo de las mismas. Este ataque puede llevarse a cabo usando un ordenador con un transmisor de radio. Aunque el riesgo es evidente la compañía ha cerrado rápidamente parte de la vulnerabilidad impidiendo que el atacante pudiera comprometer el Hue Bridge, el centro de control de las diferentes luces, y desde ahí controlar el resto de la red incluyendo a los PCs conectados a ella.

Una vulnerabilidad que afecta a más fabricantes

Hue App

La vulnerabilidad está presente en Zigbee, el protocolo de comunicación que usa Philips para controlar los diferentes componentes de la casa. Importante de saber que Zingbee es también el protocolo de elección para Amazon Echo Plus, Samsung SmartThings, Belkin WeMo, Hive Active Heating, las cerraduras de Yale, los termostatos de Honeywell, Bosch Security Systems, Ikea Tradfri, Samsung Comcast Xfinity Box y algunos más.

Los investigadores de Check Point han descubierto una forma de escalar el ataque de una bombilla a toda la red, funciona de la siguiente forma:

  1. El atacante usa la vulnerabilidad original para controlar una bombilla.
  2. El usuario observa un comportamiento anómalo y no es capaz de controlar la bombilla en cuestión.
  3. La solución más obvia es eliminar la bombilla y emparejarla de nuevo.
  4. Al emparejarla de nuevo el malware obtiene acceso al Hue Bridge.
  5. Desde ahí puede propagarse a los demás dispositivos conectados a la red y causar daños considerables.

Check Point ha comunicado sus allazgos a Signify, la propietaria de Philips Hue, y ya hay una actualización de seguridad disponible.

Se recomienda a todos los usuarios de Philips Hue que actualicen los dispositivos a través de la app Hue.

Tengamos en cuenta que la vulnerabilidad original que permite controlar luces individuales no puede arreglarse, ya que, para hacerlo, se necesitan cambios en el hardware de las bombillas, pero la actualización de seguridad se asegura que el ataque no pueda alcanzar a otros dispositivos de la red.

A continuación podemos ver una demostración en vídeo del ataque.

Comentarios cerrados
Inicio