Une nouvelle vulnérabilité a été découverte dans le système d'éclairage intelligent Philips Hue qui pourrait permettre aux pirates d'accéder au réseau hôte local et aux autres appareils qui y sont connectés.
Découverte par Recherche de point de contrôle et démontré dans un vidéo , la faille concerne le protocole de communication Zigbee utilisé par les ampoules Philips Hue et un certain nombre d'autres appareils domestiques intelligents, notamment Ring d'Amazon, Samsung SmartThings, Ikea Tradfri et WeMo de Belkin.
Selon les chercheurs en sécurité, la vulnérabilité pourrait permettre à un attaquant local de prendre le contrôle des ampoules Hue à l'aide d'une mise à jour sans fil malveillante et provoquer un comportement aléatoire des ampoules et les rendre incontrôlables. Si l'utilisateur supprime ensuite l'ampoule et la rajoute dans l'application Hue, l'attaquant peut accéder au pont Hue.
L'ampoule contrôlée par des pirates avec un firmware mis à jour utilise ensuite les vulnérabilités du protocole ZigBee pour déclencher un débordement de tampon basé sur le tas sur le pont de contrôle, en lui envoyant une grande quantité de données. Ces données permettent également au pirate d'installer des logiciels malveillants sur le pont, qui est à son tour connecté à l'entreprise ou au réseau domestique cible.
Chaque Philips Hue Hub connecté à Internet devrait se mettre automatiquement à jour vers la version 1935144040, qui corrige cette vulnérabilité spécifique. Les utilisateurs peuvent vérifier eux-mêmes si des mises à jour sont disponibles pour l'application Hue.
La faille repose en fait sur une vulnérabilité qui était à l'origine découvert en 2016 et qui ne peut pas être patché, car cela nécessiterait une mise à jour matérielle des ampoules intelligentes.
« Beaucoup d'entre nous sont conscients que les appareils IoT peuvent présenter un risque pour la sécurité », a déclaré Yaniv Balmas, responsable de la cyber-recherche chez Check Point Research. 'Mais cette recherche montre comment même les appareils les plus banals et apparemment' stupides 'tels que les ampoules électriques peuvent être exploités par des pirates et utilisés pour prendre le contrôle de réseaux ou implanter des logiciels malveillants.'
Mots clés : Philips , Philips Hue
Articles Populaires