E’ stata scoperta una nuova vulnerabilità nel sistema di luci smart Philips Hue, grazie alla quale un hacker potrebbe accedere alla rete host locale e agli altri dispositivi collegati.
Come dimostrato da Check Point Research anche in un video, il problema riguarda il protocollo di comunicazione Zigbee utilizzato dalle lampadine Philips Hue e una serie di altri dispositivi domestici intelligenti, tra cui Amazon Ring, Samsung SmartThings, Ikea Tradfri e Wekin di Belkin.
AGGIORNAMENTO: Riportiamo la risposta ufficiale che ci ha condiviso l’azienda:
La segnalazione di Checkpoint Security ci è pervenuta lo scorso novembre e, già alcune settimane fa, abbiamo rilasciato un aggiornamento correttivo. La falla individuata da Checkpoint Security risale ad una ricerca condotta nel 2017 ed è oggi stata ampiamente risolta. Inoltre, nell’ipotesi che un malintenzionato volesse assumere il controllo delle lampadine Philips Hue, dovrebbe non solo trovarsi in prossimità del luogo in cui è stato installato il sistema di illuminazione connesso ma anche essere tra i massimi esperti nel campo dell’ingegneria sociale. In pratica, un malintenzionato potrebbe sfruttare a proprio vantaggio questa vulnerabilità hackerando il bridge Philips Hue accedendo da una lampadina compromessa. Tuttavia, prima ancora che i risultati della ricerca fossero resi pubblici, abbiamo corretto il malfunzionamento. Pertanto, il rischio di un attacco all’interno propria rete domestica è molto ridotto ma, con l’obiettivo di ridurre qualsiasi intrusione sgradita, consigliamo di aggiornare i propri prodotti Philips Hue con regolarità.
Secondo i ricercatori di sicurezza, la vulnerabilità potrebbe consentire a un malintenzionato di assumere il controllo delle lampadine Hue utilizzando un aggiornamento over-the-air dannoso e rendendo incontrollabili le varie lampadine. Quando l’utente si accorge di quel comportamento anomalo è portato ad eliminare la lampadina dall’app e di aggiungerla nuovamente. Una volta completata questa operazione, l’attaccante sarà in grado di accedere all’intero bridge Hue.
L’hacker può quindi installare malware sul bridge, che a sua volta è collegato alla rete domestica di destinazione. Questo significa che anche i dispositivi collegati a quella rete potrebbero finire nel mirino degli hacker.
Le notizie positive sono due: la prima è che, per assumere il controllo delle lampadine Hue, il malintenzionato deve trovarsi nel luogo in cui sono installate le varie Hue; la seconda è che Philips ha già rilasciato un aggiornamento correttivo (versione 1935144040) che viene installato automaticamente dal sistema. Gli utenti possono verificare l’avvenuta installazione di questo update direttamente dall’app Hue.