Skip to content

Sicherheitslücke in Philips Hue Lampen ermöglichen Angreifern Zugriff auf das komplette Heimnetzwerk

Geschrieben von Florian Schimanke am

Das Problem mit der immer weiter voranschreitenden Vernetzung unseres Lebens besteht naturgemäß darin, dass diese immer angreifbar sein wird. Vor allem auch Smart-Home Applikationen sind hiervon betroffen, wessen man sich stets bewusst sein sollte, wenn man seine eigenen vier Wände vernetzt. Aktuell haben Forscher von Check Point Research eine Sicherheitslücke im Zigbee-Protokoll entdeckt, welches unter anderem von Philips Hue, Amazon Ring, Samsung SmartThings, Ikea Tradfri oder Belkin WeMo genutzt wird. Diese Lücke kann von Angreifern dazu genutzt werden, beispielsweise die Smart-Home Geräte zu übernehmen und sich zudem Zugriff auf das dahinter liegende heimische Netzwerk und darin befindliche Geräte zu verschaffen.



YouTube Direktlink

Die gute Nachricht: Es existiert bereits ein Firmware-Update, welches das Problem behebt. Über die Hue-App sollte man daher schnellstens überprüfen, ob die verbundenen Lampen bereits mit der Version 1935144040 versorgt sind, die sie sich automatisch über das Internet herunterladen und installieren sollten.

Um die einleitenden Sätze noch einmal aufzugreifen, ist das nun entdeckte Problem ein perfektes Beispiel dafür, wie angreifbar man sich durch den Einsatz von smarten Geräten oder allgemein durch das "Internet of Things" (IoT) machen kann. Dies gilt auch für auf den ersten Blick "dumme" Geräte wie Lampen. Zwar sollte man sich hierdurch nicht komplett von der Digitalisierung und der Vernetzung unserer Welt abhalten lassen, man sollte sich der dadurch drohenden Gefahren aber stets bewusst sein.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Thomas Speck am :

Falscher Ansatz, denn nicht der Kunde muss ausb\374geln, was der Hersteller oder ein Normierungsgremium verbockt hat, sondern die Hersteller oder Gremien m\374ssen zuk\374nftig daf\374r sorgen, dass das Protokoll von vorneherein sicher ist. Es kann doch nicht Aufgabe der Kunden sein, f\374r die Sicherheit zu sorgen. Aber immer schnellere Produktzyklen und die Gier, schneller wie die Konkurrenz mit einem Produkt auf dem Markt zu sein, l\344sst das Testen und die Sicherheit hintenrunter kippen. Da muss sich was auf dem Markt tun, zur Not mit Regularien und verpflichtenden Vorgaben.

Anonym am :

Etwas von vornherein sicher zu gestalten ist schlicht nicht m\366glich. Es gibt immer Sicherheitsl\374cken, wie im echten Leben so auch in der IT. Man wird immer erst L\374cken finden und danach sich Gedanken machen, wie man die behebt.
Es gibt nirgends 100% Sicherheit!

Thomas Speck am :

Und wieso akzeptieren wir Verbraucher diese Taktik der Firmen, die Benutzer so zu behandeln. Wenn ich etwas entwickle, dann schaue ich doch, dass ich keine Fehler mache. Wie kann man dann fehlerhafte Produkte ohne ausreichende Testzyklen auf den Markt werfen. Da hat man doch dann immer doppelte Arbeit, weil man ja schlie\337lich seine eigenen L\374cken ja auch zus\344tzlich noch fixen muss. Werde ich nie verstehen...

Anonym am :

Es ist in der heutigen Zeit nicht mehr m\366glich ein System 100% sicher zu gestallten. Die Systeme werden immer komplexer und es gibt immer wieder neue Angriff Szenarien an die man nicht mal im Traum gekommen w\344re. Selbst Systeme wie Konsolen, wo extrem auf Verschl\374sselung und sichere Systemkommunikation geachtet wird, werden irgendwann gehackt. Oder gar die NSA die es eigentlich auch wissen sollte. Auch Google als Riese und passieren Fehler. Ein Buffer Overflow wie in diesem Fall sollte nicht passieren, daf\374r w\344re eventuell eine andere Programmiersprache als C/CPlusPlus besser, die daf\374r weniger anf\344llig ist, aber auch da wird es Probleme geben. Es muss nach M\366glichkeit schnell reagiert werden und die Probleme schnell behoben werden.

Anst am :

Wichtiger ist das Firmen weiterhin ihre Produkte unterst\374tzen und mit Sicherheitsupdates versehen. Dann k\366nnen auch schnelle Produktzyklen auf den Markt geworfen werden. Und wie lange gibt es jetzt Hue Lampen und die wie vielte Sicherheitsl\374cke ist das jetzt? Und behoben wurde sie auch noch? Ich glaub mit Hue macht man aktuell weithin alles richtig

Anonym am :

Firmware des Hub\u2018s sollte 1935144040 vom 14.1 sein, die verbundenen Lampen haben seit dem 17.1 Firmware 1.46.13_r26312 au\337er die \344lteren LWB006 da ist die letzte Firmware vom 09.02.19, Schalter und Sensoren wurden ebenfalls nicht aktualisiert.

atmotec am :

Kann ich so best\344tigen, ist bei mir auch so.

localhorst am :

Korrekt, geht nur um die Bridge.
Wobei bei mir die 44040 bereits am 13.01. eingespielt wurde.

Ironaad am :

IOT!? Ich mach nur EOT \ud83d\ude0a

Anonym am :

"It should be noted that more recent hardware generations of Hue lightbulbs do not have the exploited vulnerability."

Der hier beschriebene Hack der Firma Check Point ist eine Erweiterung des Hacks von Eyal Ronen aus dem Jahr 2018 und funktioniert nur auf alter Hardware - Philips wurde damals informiert und hat die Sicherheitsl\374cke geschlossen.

Um eine der alten Lampen zu infizieren, muss der Angreifer in der N\344he sein (war-driving oder war-flying mit Drone) und wenn der Hue Switch gepatched ist, kann der zweite Angriff nicht durchgef\374hrt werden.

Es ist ein interessantes Konzept, was man alles machen k\366nnte, wenn die Bedingungen daf\374r optimal sind. Aber keine reale Bedrohung.

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen