Chi ha installato nella propria abitazione una o più lampadine o accessori della gamma Philips Hue controlli senza perder tempo se lo hub dedicato alla loro gestione ha ricevuto l’aggiornamento firmware alla versione 1935144040. L’update dovrebbe essere stato già applicato in automatico. In caso contrario il consiglio è quello di forzarlo per mettersi al sicuro dal rischio di attacchi.
L’attacco ai device Philips Hue via ZigBee
A scoprire la vulnerabilità sono stati i ricercatori di Check Point Software. Dopo averla individuata nel mese di novembre l’hanno immediatamente segnalata al produttore olandese. L’aggiornamento è poi stato rilasciato gradualmente, a partire dalla metà di gennaio. Non si tratta in realtà di un problema del tutto inedito, ma legato a doppio filo a quello già emerso alla fine del 2016 e mai del tutto risolto, collegato al funzionamento del protocollo ZigBee. Allora si dimostrò come sorvolando un’abitazione con un drone era possibile mettere fuori uso tutti i dispositivi scatenando una reazione a catena.
Il potenziale attacco poteva essere perpetrato inviando una importante quantità di dati al device, generando così un errore di tipo buffer overflow, spalancando di conseguenza le porte all’azione del malintenzionato che in questo modo aveva la possibilità di installare codice maligno o addirittura di allungare le mani sulle altre componenti del network. Insomma, rischi che vanno ben oltre il pericolo che un estraneo accenda, spenga o cambi colore alle lampadine di casa.
Il video in streaming qui sopra illustra la dinamica in modo piuttosto chiaro. Dapprima l’autore dell’attacco prende il controllo della lampadina e impedisce alla vittima di utilizzarla correttamente. Quest’ultima è spinta a disconnetterla dallo hub per poi provare a configurarla di nuovo, ma al posto del dispositivo si collega involontariamente al terminale impiegato da remoto per la violazione, concedendogli di fatto il pieno accesso al network domestico. Nell’ultima parte del filmato si vede chiaramente come così facendo viene messa a repentaglio anche la sicurezza dei dati contenuti negli altri dispositivi connessi, inclusi i computer.
I ricercatori sostengono che trattandosi di un punto debole del protocollo ZigBee lo stesso problema potrebbe interessare i prodotti di altri marchi che fanno leva sul medesimo standard: da quelli Ring di Amazon fino alla linea SmartThings di Samsung, da IKEA TRÅDFRI a WeMo di Belkin, senza dimenticare le serrature Yale, i termostati Honeywell, i sistemi di allarme Xfinity Home di Comcast e così via.