Detectada una vulnerabilidad en los dispositivos Hue de Philips que permite acceder a toda nuestra red

Una vulnerabilidad detectada en los dispositivos Hue de Philips permite a cualquier persona con los conocimientos suficientes, hacerse con el control de las bombillas, para encenderlas o apagarlas, sino que le permite acceder a cualquier otro dispositivo conectado a la misma red, con todo lo que ello supone.

El riesgo a día de hoy todavía está presente, ya que Philips no ha lanzado ningún parte que solucione esta vulnerabilidad pero al menos ha bloqueado el acceso al puente que utilizan los productos Hue para que los amigos de lo ajeno no puedan llegar al resto de dispositivo del hogar, incluyendo cualquier PC conectado a la misma red.

Esta vulnerabilidad ha sido descubierto en el protocolo de comunicación Zigbee, el utilizado por las bombillas Philips Hue, por lo que también está disponible en todos los productos domóticos que utilicen este protocolo de comunicación, como son los Amazon Echo Plus, Samsung SmartThings, Belkin, en las cerraduras inteligentes de Yale, termostatos Honewell, Ikea Tadfri, Samsung Comcast Xfinity Box, Bosh Security Systems…

Los investigadores de seguridad de Check Point, quienes han descubierto una forma de escalar el ataque desde una bombilla hasta hacerse con toda la red, nos explican como funciona:

  • El atacante utiliza la vulnerabilidad original para tomar el control de una sola bombilla.
  • El usuario ve un comportamiento aleatorio y es incapaz de gestionar el funcionamiento correcto de la bombilla y al no poder gestionar la bombilla, el usuario resetea la bombilla y la vuelve a añadir al sistema.
  • En ese momento, el malware de la bombilla tiene acceso al puente Hue y se propaga a todos los dispositivos y ordenadores conectados a la misma red.

Una vez tiene acceso a cualquier equipo del hogar, el atacante puede instalar aplicaciones para registrar pulsaciones en el teclado (y acceder a nuestras contraseñas) e instalar ransomware para cifrar nuestro equipo y solicitar un rescate para poder volver a tener acceso.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.