飞利浦Hue设备中发现的漏洞使任何有足够知识的人都可以 控制灯泡,以打开或关闭它们,但允许您访问暗示连接到同一网络的任何其他设备。
由于飞利浦尚未发布解决此漏洞的任何部分,但至少阻止了对Hue产品使用的网桥的访问,因此其他风险仍然存在,因此该风险仍然存在 无法到达家用设备的其余部分,包括连接到同一网络的任何PC。
这个漏洞 在Zigbee通信协议中被发现,它是飞利浦Hue灯泡使用的灯泡,因此在所有使用此通信协议的家庭自动化产品中也可用,例如Amazon Echo Plus,Samsung SmartThings,Belkin,耶鲁智能锁,Honewell温控器,宜家Tadfri,Samsung Comcast Xfinity Box,Bosh安全系统...
Check Point安全研究人员,他们发现了一种方法 将攻击范围从灯泡扩展到整个网络,他们向我们解释了它是如何工作的:
- 攻击者使用原始漏洞来控制单个灯泡。
- 用户看到随机的行为,无法管理灯泡的正确操作,并且由于他无法管理灯泡,因此用户重置了灯泡并将其添加回系统中。
- 那一刻 灯泡恶意软件可以访问Hue桥 并传播到连接到同一网络的所有设备和计算机。
一旦攻击者可以访问家里的任何计算机,攻击者就可以安装应用程序来记录击键(并访问我们的密码)并 安装勒索软件以加密我们的计算机 并要求赎金以重新获得访问权限。