Abo
  • IT-Karriere:

Philips Hue: Smarte Lampe per Drohne gehackt

Hacker haben eine Sicherheitslücke in vermeintlich smarten Lampen des Herstellers Philips ausgenutzt. Dazu flogen sie mit einer Drohne und etwas technischem Equipment an verwundbaren Geräten vorbei und installierten einen Wurm.

Artikel veröffentlicht am ,
Zigbee-Lampen von Philips ließen sich fernsteuern.
Zigbee-Lampen von Philips ließen sich fernsteuern. (Bild: Philips)

Erneut haben Sicherheitsforscher eine Schwachstelle im Heimvernetzungsstandard Zigbee ausgenutzt. Betroffen waren dieses Mal nicht Türschlösser, sondern die fernsteuerbaren Hue-Lampen von Philips, wie die New York Times berichtet.

Stellenmarkt
  1. AOK Niedersachsen', Hannover
  2. EnBW Energie Baden-Württemberg AG, Karlsruhe

Die Hacker nutzten zuerst einen "kritischen Bug" aus, mit dem es möglich ist, das Gerät aus dem eigentlich zugewiesenen Netzwerk herauszulösen. Dazu nutzten sie die Funktion ZLL Touchlink. Jeder im Besitz eines Masterkeys kann damit Geräte aus einem vorhandenen Netzwerk herauslösen. Der Schlüssel wurde bereits im Jahr 2015 veröffentlicht, bietet also keinen Schutz. In einem zweiten Schritt starteten sie einen Side-Channel-Angriff, mit dem sie den Key auslesen konnten, den Philips zum Signieren der Firmware-Updates benutzt. Dazu nutzten sie Differential Power Analysis und Correlation Power Analysis. Bei beiden Methoden werden Verbrauchströme analysiert, um Rückschlüsse auf den Ciphertext zu ermöglichen und daraus Informationen zu berechnen. Mit dem signierten Firmwareupdate konnten sie dann die Fernsteuerung der Geräte implementieren.

Eine Drohne sucht verwundbare Geräte

Um Geräte aufzuspüren, bediente sich das Team einer kommerziell erhältlichen Drohne, die als Payload ein Zigbee-Sendemodul enthielt, mit dem dann die Manipulation durchgeführt wurde. Die maximal mögliche Entfernung betrug dabei etwa 350 Meter. Bei einem weiteren Test gelang es den Forschern nach eigenen Angaben, aus rund 70 Metern Entfernung in einem Gebäude installierte Hue-Lampen an- und auszuschalten.

Nach Angaben der Forscher war es möglich, von einer ersten infizierten Lampe weitere Geräte in Reichweite des Zigbee-Netzwerkes zu infizieren und so eine Art Wurm zu erzeugen. Philips hat die Firmware der Hue-Geräte am 4. Oktober 2016 aktualisiert, so dass der gezeigte Angriff nicht mehr funktioniert. Eine Sprecherin des Unternehmens spielte die Lücke herunter, die Gefahr sei gering, weil spezialisierte Hardware notwendig sei.



Anzeige
Hardware-Angebote
  1. 334,00€
  2. 83,90€
  3. täglich neue Deals bei Alternate.de
  4. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)

RichardEb 07. Nov 2016

Es ging darum das der Key mit der die firmwares signiert werden vom Gerät ausgelesen...

lecram 05. Nov 2016

Ich musste an Watchdogs denken. :D

goto10 05. Nov 2016

Bewerbe dich doch als Redakteur, Golem kann sicher immer gute Leute gebrauchen. Dann ist...

bl 04. Nov 2016

Um einen Tresor zu knacken braucht man auch spezialisierte Hardware. Erst hat mich der...


Folgen Sie uns
       


Asrock DeskMini A300 - Test

Der DeskMini A300 von Asrock ist ein Mini-PC mit weniger als zwei Litern Volumen. Der kleine Rechner basiert auf einer Platine mit Sockel AM4 und eignet sich daher für Raven-Ridge-Chips wie den Athlon 200GE oder den Ryzen 5 2400G.

Asrock DeskMini A300 - Test Video aufrufen
Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus
  2. Ingolstadt Audi vernetzt Autos mit Ampeln
  3. Wasserkühlung erforderlich Leistungshunger von Auto-Rechnern soll stark steigen

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades ist für alle verfügbar
  2. TES Blades im Test Tolles Tamriel trollt
  3. Bethesda TES Blades startet in den Early Access

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

    •  /