Forscher des Weizmann Institute of Science in Israel und der Dalhousie University im kanadischen Halifax haben in einer recht spektakulären Aktion Sicherheitslücken in den intelligenten Lampen der Reihe Philips Hue aufgezeigt. Bevor sie jetzt ihre Erkenntnisse veröffentlicht haben, hatten sie bereits den Hersteller informiert. Der hat die Lücke Anfang Oktober mit einem Update behoben.
Die Forscher aus Kanada und Israel nutzten für ihren Angriff eine Lücke in der Philips-Implementierung der Komponente Touchlink des Funkprotokolls Zigbee Light Link aus. Eigentlich soll dort die Komponente Touchlink Angriffe, wie sie die Forscher durchführten, gerade verhindern. Allerdings war es den Forschern eigenen Aussagen zufolge mit gängiger Standardausrüstung im Wert von einigen Hundert Dollar möglich, mittels einer Side-Channel-Attacke den von Philips in den Hue-Lampen verwendeten, globalen AES-CCM-Schlüssel herauszufinden. “Das zeigt wieder einmal, wie schwierig es ist, Sicherheit richtig umzusetzen, selbst für eine so große Firma die Standard-Kryptographietechniken benutzt, um eines ihrer wichtigsten Produkte zu schützen”, so die Forscher.
Nachdem sie so die erforderlichen Informationen gewonnen hatten, belegten sie die praktische Durchführbarkeit eines Angriffs. Dazu befestigten sie ein Evaluierungsboard mit der für den Angriff notwendigen Hardware an einer Drohne. Die starteten sie in einer Entfernung von 350 Metern von einem Bürogebäude mit Philips-Hue-Lampen in der israelischen Stadt Beer Sheva, indem neben einigen bekannten Firmen auch das israelische CERT untergebracht ist.
Die Kamera der Drohne zeigt dann, wie bereits aus größerer Entfernung die Manipulation an den Lampen einsetzt. Sobald die Drohne näher an das Gebäude herankommt, und damit die auf relativ kurze Entfernungen ausgelegte ZigBee-Verbindung auch immer stabiler wird, wird auch das durch die manipulierte Firmware verursachte Flackern der Lichter regelmäßiger. Schließlich zeigt sich, indem die Forscher die Lichter im Takt des Morse-Codes “SOS” senden lassen, dass sie komplett übernommen wurden.
Im Bereich IoT gibt es zahlreiche Initiativen und Konsortien, bislang laufen diese Bestrebungen jedoch überwiegend parallel nebeneinander her. Doch damit dies alles überhaupt funktionieren kann, braucht man neben neuen Produkten auch neue Standards – insbesondere für die Kommunikation der Geräte untereinander und für die Sicherheit. silicon.de gibt einen Überblick.
Von dem Angriff war nun Philips betroffen, dass offenbar bei der Implementierung von ZigBee Light Link für die von ihm bei der Markteinführung 2012 als “smarteste LED-Lampe der Welt” beworbene Hue-Reihe Fehler gemacht hat. Allerdings wird ZigBee Light Link als weit verbreiteter Standard in der Branche in zahlreichen “smarten” Leuchtmitteln zur Kommunikation untereinander und mit dem Controller benutzt. Da die Produkte der Hersteller kompatibel sind – was aus Sicht der Verbraucher ja zunächst einmal zu begrüßen ist – kann aber der Fehler in einem dazu führen, dass auch andere angreifbar werden. An der Entwicklung von ZigBee Light Link waren neben Philips unter anderem auch GE, Greenwave, Osram und Sylvania beteiligt, die den Standard in ihren Produkten ebenfalls nutzen
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
