Sikkerhetsforskerne i Check Point har avdekket en svakhet i Zigbee-protokollen som gjør det mulig for angripere å ta kontroll over ruteren din via smarte lyspærer som Philips Hue.
Dette var for øvrig samme svakhet som ble oppdaget i 2017, og det viser seg nå at sikkerhetshullet ikke ble helt tettet.
I sin rapport skriver Check Point at de lyktes å ta kontroll over en Hue-lyspære, installere ondsinnet fastvare på den for så å benytte lyspæra som en plattform for å ta kontroll over Hue Bridge, som igjen ble brukt for å angripe selve nettverket.

Denne varsler deg ved innbrudd
Slik gjennomførte sikkerhetsforskerne angrepet:
- Angriperne tar først kontroll over lyspæra og trikser med lysstyrken og fargene på den for å få eieren til å tro at det er noe galt med lyspæra. Målet er å få eieren til å tilbakestille lyspæra.
- Dette gjøres via appen, og eieren legger til lyspæra – som er infisert med ondsinnet fastvare – tilbake i systemet.
- Dermed kan angriperen, ved å utnytte svakheter i Zigbee-protokollen, bruke pæra til å ta kontroll over og sende skadevare til Hue Bridge.
- Etter å ha tatt kontroll over Hue Bridge, kan angriperne igjen angripe nettverket og spre løsepengevirus og spionvare.
En oppdatering tettet hullet
Check Point informerte Signify, som eier Philips Hue-merkevaren, om svakheten i november i fjor, og nå kan Hue-brukere oppdatere systemet sitt med en programvareoppdatering som tetter dette hullet.
I appen kan du se om du har riktig fastvare. Under Innstillinger – Om – Philips Hue og Versjon skal det stå 1935144040.

Gjør det ikke det, kan du installere oppdateringen på følgende måte.
- Gå til Innstillinger
- Under App finner du Programvareoppdatering
- Søk etter oppdatering og trykk på oppdateringen(e) som er tilgjengelig
Når det er gjort, er Philips Hue-systemet ditt beskyttet mot denne typen angrep.
Vær obs på at Check Point kun har undersøkt hvordan svakheten i Zigbee-protokollen kan utnyttes i Hue-universet. Zigbee benyttes også i smarthusløsninger som Ikea Trådfri, Samsung SmartThings, Yale Doorman og andre, og det er ikke offentliggjort hvordan svakheten eventuelt kan utnyttes i disse systemene.
