פגיעות שנמצאת במכשירי Philips Hue מאפשרת לכל מי שיש לו ידע מספיק להשתלט על הנורות, כדי להפעיל או לכבות אותם, אך מאפשר לך לגשת לכל מכשיר אחר המחובר לאותה רשת, על כל המשתמע מכך.
הסיכון עדיין קיים כיום, מכיוון שפיליפס לא פרסמה שום חלק המטפל בפגיעות זו אך לפחות חסמה את הגישה לגשר המשמש את מוצרי Hue כך שחברים של אחרים לא יכול להגיע לשאר המכשיר הביתי, כולל כל מחשב המחובר לאותה רשת.
פגיעות זו התגלה בפרוטוקול התקשורת של זיגביזו המשמשת את נורות Philips Hue, כך שהיא זמינה גם בכל מוצרי האוטומציה הביתית המשתמשים בפרוטוקול תקשורת זה, כגון Amazon Echo Plus, Samsung SmartThings, Belkin, במנעולים חכמים של ייל, תרמוסטטים של Honewell, Ikea Tadfri, Samsung Comcast Xfinity. Box, מערכות אבטחה של Bosh ...
חוקרי אבטחה של צ'ק פוינט, שגילו דרך הגדל את ההתקפה מנורה לכל הרשת, הם מסבירים לנו איך זה עובד:
- התוקף משתמש בפגיעות המקורית כדי להשתלט על נורה אחת.
- המשתמש רואה התנהגות אקראית ואינו מסוגל לנהל את הפעולה הנכונה של הנורה ומכיוון שאינו יכול לנהל את הנורה, המשתמש מאפס את הנורה ומוסיף אותה למערכת.
- באותו זמן, לתוכנות זדוניות נורות יש גישה לגשר הגוון והוא מתפשט לכל המכשירים והמחשבים המחוברים לאותה רשת.
ברגע שיש לו גישה לכל מחשב בבית, התוקף יכול להתקין יישומים כדי להקליט הקשות (ולגשת לסיסמאות שלנו) ו להתקין תוכנות כופר כדי להצפין את המחשב שלנו ולבקש כופר להחזרת הגישה.