Обнаружена новая уязвимость в системе умного освещения Philips Hue, которая может позволить хакерам получить доступ к локальной сети и другим подключенным к ней устройствам.

Уязвимость, обнаруженная Check Point Research и продемонстрированная в видео, связана с протоколом связи Zigbee, используемым лампочками Philips Hue и рядом других устройств умного дома, включая Ring от Amazon, SmartThings от Samsung, Tradfri от Ikea и WeMo от Belkin.

По словам исследователей безопасности, уязвимость может позволить локальному злоумышленнику взять под контроль лампочки Hue, используя вредоносное обновление «по воздуху» и вызывая случайное поведение и потерю управляемости лампочек. Если пользователь затем удаляет лампочку и снова добавляет ее в приложении Hue, злоумышленник получает доступ к мосту Hue.

Лампочка под управлением хакера с обновленной прошивкой затем использует уязвимости протокола ZigBee для вызова переполнения буфера на основе кучи на управляющем мосту, отправляя ему большой объем данных. Эти данные также позволяют хакеру установить вредоносное ПО на мост, который, в свою очередь, подключен к целевой корпоративной или домашней сети.

Каждый хаб Philips Hue, подключенный к Интернету, должен был автоматически обновиться до версии 1935144040, которая устраняет эту конкретную уязвимость. Пользователи могут проверить это сами, посмотрев, доступны ли какие-либо обновления для приложения Hue.

На самом деле уязвимость основана на недостатке, который был изначально обнаружен в 2016 году и который не может быть исправлен, так как для этого потребуется обновление аппаратного обеспечения умных лампочек.

«Многие из нас знают, что устройства Интернета вещей могут представлять угрозу безопасности», — сказал Янив Бальмас, глава отдела кибербезопасности Check Point Research. «Но это исследование показывает, как даже самые обычные, казалось бы, «глупые» устройства, такие как лампочки, могут быть использованы хакерами и применены для захвата сетей или внедрения вредоносного ПО».