Abo
  • Services:

Philips Hue: Smarte Lampe per Drohne gehackt

Hacker haben eine Sicherheitslücke in vermeintlich smarten Lampen des Herstellers Philips ausgenutzt. Dazu flogen sie mit einer Drohne und etwas technischem Equipment an verwundbaren Geräten vorbei und installierten einen Wurm.

Artikel veröffentlicht am ,
Zigbee-Lampen von Philips ließen sich fernsteuern.
Zigbee-Lampen von Philips ließen sich fernsteuern. (Bild: Philips)

Erneut haben Sicherheitsforscher eine Schwachstelle im Heimvernetzungsstandard Zigbee ausgenutzt. Betroffen waren dieses Mal nicht Türschlösser, sondern die fernsteuerbaren Hue-Lampen von Philips, wie die New York Times berichtet.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Endress+Hauser InfoServe GmbH+Co. KG, Weil am Rhein

Die Hacker nutzten zuerst einen "kritischen Bug" aus, mit dem es möglich ist, das Gerät aus dem eigentlich zugewiesenen Netzwerk herauszulösen. Dazu nutzten sie die Funktion ZLL Touchlink. Jeder im Besitz eines Masterkeys kann damit Geräte aus einem vorhandenen Netzwerk herauslösen. Der Schlüssel wurde bereits im Jahr 2015 veröffentlicht, bietet also keinen Schutz. In einem zweiten Schritt starteten sie einen Side-Channel-Angriff, mit dem sie den Key auslesen konnten, den Philips zum Signieren der Firmware-Updates benutzt. Dazu nutzten sie Differential Power Analysis und Correlation Power Analysis. Bei beiden Methoden werden Verbrauchströme analysiert, um Rückschlüsse auf den Ciphertext zu ermöglichen und daraus Informationen zu berechnen. Mit dem signierten Firmwareupdate konnten sie dann die Fernsteuerung der Geräte implementieren.

Eine Drohne sucht verwundbare Geräte

Um Geräte aufzuspüren, bediente sich das Team einer kommerziell erhältlichen Drohne, die als Payload ein Zigbee-Sendemodul enthielt, mit dem dann die Manipulation durchgeführt wurde. Die maximal mögliche Entfernung betrug dabei etwa 350 Meter. Bei einem weiteren Test gelang es den Forschern nach eigenen Angaben, aus rund 70 Metern Entfernung in einem Gebäude installierte Hue-Lampen an- und auszuschalten.

Nach Angaben der Forscher war es möglich, von einer ersten infizierten Lampe weitere Geräte in Reichweite des Zigbee-Netzwerkes zu infizieren und so eine Art Wurm zu erzeugen. Philips hat die Firmware der Hue-Geräte am 4. Oktober 2016 aktualisiert, so dass der gezeigte Angriff nicht mehr funktioniert. Eine Sprecherin des Unternehmens spielte die Lücke herunter, die Gefahr sei gering, weil spezialisierte Hardware notwendig sei.



Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  2. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  3. 4,99€

RichardEb 07. Nov 2016

Es ging darum das der Key mit der die firmwares signiert werden vom Gerät ausgelesen...

lecram 05. Nov 2016

Ich musste an Watchdogs denken. :D

goto10 05. Nov 2016

Bewerbe dich doch als Redakteur, Golem kann sicher immer gute Leute gebrauchen. Dann ist...

bl 04. Nov 2016

Um einen Tresor zu knacken braucht man auch spezialisierte Hardware. Erst hat mich der...


Folgen Sie uns
       


Strihl wechselt Leuchtmittel per Drohne (Light and Building 2018)

Strihl präsentiert auf der Light + Building sein Wartungssystem für Straßenleuchten per Drohne.

Strihl wechselt Leuchtmittel per Drohne (Light and Building 2018) Video aufrufen
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


    Physik: Maserlicht aus Diamant
    Physik
    Maserlicht aus Diamant

    Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
    Von Dirk Eidemüller

    1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
    2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
    3. Crayfis Smartphones sollen kosmische Strahlung erfassen

    Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
    Adblock Plus
    Bundesgerichtshof erlaubt Einsatz von Werbeblockern

    Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

    1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

      •  /