飛利浦 Hue 設備中檢測到的漏洞允許任何有足夠知識的人, 奪取燈泡的控制權,打開或關閉它們,還允許您訪問連接到同一網絡的任何其他設備,以及這一切所需的一切。
時至今日,風險依然存在,飛利浦尚未發布任何解決該漏洞的部分,但至少已經屏蔽了對Hue產品使用的橋接器的訪問,以便國外的朋友 無法訪問家中其他設備,包括連接到同一網絡的任何 PC。
這個漏洞 Zigbee通信協議中已被發現,飛利浦 Hue 燈泡使用的協議,因此它也適用於所有使用該通信協議的家庭自動化產品,例如 Amazon Echo Plus、Samsung SmartThings、Belkin、Yale 智能鎖、Honewell 恆溫器、Ikea Tadfri、Samsung Comcast Xfinity Box , 波什安全系統...
Check Point 安全研究人員發現了一種方法 將攻擊從燈泡升級到接管整個網絡他們解釋了它是如何工作的:
- 攻擊者利用原始漏洞來控制單個燈泡。
- 用戶看到隨機行為並且無法管理燈泡的正確操作並且無法管理燈泡,用戶重置燈泡並將其添加回系統。
- 那時, 燈泡惡意軟件可以訪問 Hue 橋 並傳播到連接到同一網絡的所有設備和計算機。
一旦他可以訪問家裡的任何計算機,攻擊者就可以安裝應用程序來記錄擊鍵(並訪問我們的密碼)並 安裝勒索軟件來加密我們的計算機 並索要贖金才能再次進入。