News Philips Hue und Zigbee: Sicherheitslücke gab Zugriff auf Leuchten und Netzwerk

Frank · 5. Februar 2020

Sicherheitsforscher von Check Point haben eine Sicherheitslücke in Zigbee und somit auch Philips Hue entdeckt, die es Angreifern erlaubt, Kontrolle über die mit dem System verbundenen Leuchten zu ergattern und den Angriff auf das Netzwerk auszuweiten. Betroffen ist aber nicht nur der Marktführer Philips Hue.

Zur News: Philips Hue und Zigbee: Sicherheitslücke gab Zugriff auf Leuchten und Netzwerk

Laphonso · 5. Februar 2020

Diese ganze All The Things Smart Home Internet+WLAN Feature Konnektivität fliegt uns TOTAL überraschend immer wieder um die Ohren.

Chillaholic · 5. Februar 2020

Na hauptsache meine Glühbirnen haben Internetzugang. 💩

Polaros · 5. Februar 2020

Ganz einfache Bauernweisheit: Je mehr Geräte am Netz hängen, desto mehr Angriffsfläche hat man.

p4z1f1st · 5. Februar 2020

"Löscht er sie nun aus dem Philips-Hue-System, um den Fehler durch ein erneutes Anlernen zu beseitigen, kann der Angreifer mittels in die Leuchte eingespielter Malware auch auf die Bridge zugreifen, worüber sich wiederum Zugriff auf das Netzwerk erlangen ließ."

Wie darf man das verstehen? Klingt so, als wäre der Angreifer dann als "Admin" im Netzwerk unterwegs, was ich ja so nicht glauben kann.

eyedexe · 5. Februar 2020

Generell sollte man Netzsegmentierung mehr Beachtung schenken.

PULARITHA · 5. Februar 2020

Chillaholic schrieb:
Na hauptsache meine Glühbirnen haben Internetzugang. 💩

Hier gehts doch "nur" um Netzwerkzugriff, lokal.

cor1 · 5. Februar 2020

Danke an CB für die News. Werde gleich schauen, ob es schon ein Update gibt. hab es aber eh segmentiert.

Chillaholic · 5. Februar 2020

PULARITHA schrieb:
Hier gehts doch "nur" um Netzwerkzugriff, lokal.

Na dann bin ich ja beruhigt...

Krautmaster · 5. Februar 2020

deswegen hab ich so Zeugs im Gästewlan / DMZ - genau wie der Roborock S6

Cat Toaster · 5. Februar 2020

eyedexe schrieb:
Generell sollte man Netzsegmentierung mehr Beachtung schenken.

Oder einfach selbst zum Schalter oder Thermostat gehen.

Hatsune_Miku · 5. Februar 2020

Mein Mitleid bei sowas hält sich echt in Grenzen, es gibt Geräte die haben mMn nichts im Internet zu suchen und dazu gehört auch der ganze smarthomequatsch.

piccolo85 · 5. Februar 2020

Haben diese "Sicherheitsforscher" denn nichts besseres zu tun?

PS828 · 5. Februar 2020

Laphonso schrieb:
Diese ganze All The Things Smart Home Internet+WLAN Feature Konnektivität fliegt uns TOTAL überraschend immer wieder um die Ohren.

Allein diese Woche drei mal

mal sehen wie oft das noch passieren muss bis diesem Unfug einhalt geboten wird. Warscheinlich muss wirklich erst ein haus seine Besitzer selbst einschließen..
"smart Home", "Cloud" eine Erfolgsgeschichte^^

Chillaholic schrieb:
Na dann bin ich ja beruhigt...

Krautmaster · 5. Februar 2020

naja es is schon cool dem Roborock beim Durchsaugen auf der Karte zuschauen zu können / ihn anstarten wen man unterwegs ist. Da er übers Gästewlan im Internet is greift die App einfach im so drüber drauf zu. Das mir lieber als irgendwie im gleichen LAN nen Gerät zu haben dass wunder weis was für Daten nach Fernost schaufelt. Daten aus meinem eigenen LAN.

Genauso ist das Hue / die Zigbee Basis ja über den Account online steuerbar. Ob da nun jemand über Hacks mein Licht ausmachen kann oder nicht ist mir jetzt erstmal egal - schlimmer finde ich da eher nen Gerät im LAN zu haben das gehacked wird und dann zb Zugriff auf offene SMB Shares usw hat oder gar Traffic mitsniffen kann.

Heißt: Internetzugriff ja. Aber bitte komplett getrennt vom restlichen LAN. Dürfte für so ziemlich alles im SmartHome gelten außer es hat wirklich keinen Bedarf auf Internet Zugriff. Dann kann man das Gerät aber auch für eben diesen sperren.

e-Funktion · 5. Februar 2020

Internet of Shit 🤮

Ishtmi · 5. Februar 2020

Wie jetzt?
Hat Samsung den Lampen jetzt schon die infrarot Fernbedienung wegrationalisiert?
Darf der hippe shit nicht mehr ohne Netzwerk funktionieren?
Jailbreakimg verboten?
Ironie

DerHotze · 5. Februar 2020

Also eigentlich:

Installiert der Angreifer eine neue Software auf eine Birne die er von der Straße aus erreichen kann.
Mach das Licht an aus und spielt den Farben bis es dem Besitzer zu doof wird
Der Besitzer schmeißt die nicht mehr funktionierende Birne aus dem hue Netz und wählt sie neu ein. Hier kommt nun die zigbee-Schwäche:
Durch diesen Neustart ist die neue Firmware auf der Hue Bridge einnisten
Die nun kompromittierte Hue Bridge verbindet sich mit dem Angreifer und verschafft den Zugang in das eigene LAN

Betroffen war aber nur die Bridge 1...
Ein Update dazu kam schon am 13 bzw 14.1.2020.
Also ging die Nachricht erst raus als das Problem bereits behoben war...

https://blog.checkpoint.com/2020/02...home-networks-can-be-hacked-from-a-lightbulb/

Auf dem Blog ist auch ein YouTube Video verlinkt...

deo · 5. Februar 2020

Krautmaster schrieb:
im Gästewlan

Dann gehört es auch ins Gäste Klo SCNR

DerHotze schrieb:
Also ging die Nachricht erst raus als das Problem bereits behoben war...

Eine angemessene Zeit für den Hersteller sollte man ihm gewähren, um eine Lücke schließen zu können.
Solange sollte man mit der Bekanntgabe der Lücke warten, um keine Trittbrettfahrer auf den Plan zu rufen.
Das ist nicht mehr als fair.

SpicyWolf · 5. Februar 2020

piccolo85 schrieb:
Haben diese "Sicherheitsforscher" denn nichts besseres zu tun?

Schön gleich herablassend werden, tolle Leistung, ohne solche Leute würden wir noch in der technologischen Steinzeit sitzen...

Zum Topic: Das S im IoT steht für secure.

News Philips Hue und Zigbee: Sicherheitslücke gab Zugriff auf Leuch­ten und Netzwerk

Chefredakteur

Vice Admiral

Fleet Admiral

Lt. Junior Grade

Commander

Lieutenant

Ensign

Lt. Commander

Fleet Admiral

Fleet Admiral

Captain

Rear Admiral

Lieutenant

Der Flieseninspektor

Fleet Admiral

Commodore

Cadet 4th Year

Ensign

Fleet Admiral

Cadet 3rd Year

Ähnliche Themen

Passend zum Thema

News Philips Hue und Zigbee: Sicherheitslücke gab Zugriff auf Leuchten und Netzwerk