חוקרי הגנת הסייבר של חברת צ'ק פוינט איתרו חולשות אבטחה חמורות בפרוטוקול ה"נורות החכמות" מהמותג של פיליפס.

החולשות איפשרו החדרת נוזקות לעסקים, רשויות ואף בתים המשתמשים בנורות אלו, על ידי השתלטות מרחוק על הנורות וניצול החיבור שלהן מצד אחד לרשת הרדיו ומן הצד השני אל רשת המחשבים.

החולשות שנמצאו ממחישות את הסכנות הקיימות במוצרי "האינטרנט של הדברים" (IoT) אשר נועדו להתחבר לרשת האינטרנט אך נעדרים, במרבית המקרים, הגנה מספקת.

המחקר התמקד בנורות החכמות מדגם Philips Hue – מובילת השוק העולמי בתחום. החולשות (CVE-2020-6007) מתמקדות בפרוטוקול ה-ZigBee, פרוטוקול אלחוטי המשמש לשליטה בנורות ואשר נמצא בשימוש בקשת רחבה של מוצרי IoT.

חוקרי צ'ק פוינט בסיוע מכון צ'ק פוינט לאבטחת מידע באוניברסיטת תל אביב (CPIIS), תקפו את הבקר (Philips Hue Bridge) אשר מנהל את הנורות ומחובר במקביל גם לרשת הרדיו וגם לרשת המחשבים הביתית / ארגונית. תהליך התקיפה שהדגימו החוקרים מתחיל בכך שבשלב ראשון מתבצעת השתלטות על נורה ושינוי של צבע ועוצמת התאורה שלה, במטרה לגרום לצרכן לחשוב שישנה בעיה בתפקוד הנורה.

בשלב זה, הנורה מופיעה כ-"לא זמינה" באפליקציית השליטה ועל כן הצרכן ינסה להגדירה מחדש על ידי מחיקת הנורה מהאפליקציה והתחלת פעולת חיפוש שתאתר את הנורה ותוביל להתקנתה מחדש. בשלב זה החוקרים ניצלו חולשת מימוש בפרוטוקול השליטה בנורות שבבקר, על מנת להשיג שליטה בבקר עצמו ודרכו להשיג גישה אל הרשת המחוברת אליו. בצורה זו, תוקף יכול להחדיר את הנוזקה הרצויה על ידו, דרך הנורה, אל הבקר השולט בה ואל רשת המחשבים אליה מחובר הבקר.

פיליפס וחברת Signify (בעלת המותג Philips Hue) אישרו את קיומן של החולשות והוציאו להן עדכון תוכנה המעודכן באופן אוטומטי (Firmware 1935144040). בצ'ק פוינט ממליצים לכל המשתמשים לוודא כי המוצר שברשותם אכן מעודכן בעדכון האחרון דרך אפליקציות ניהול הנורות.

יניב בלמס, מנהל מחלקת מחקר הסייבר של צ'ק פוינט: "הסכנות הטמונות במוצרי IoT מדוברות מזה מספר שנים והמחקר שלנו מוכיח עד כמה הסיכון ממשי גם כשמדובר במוצרים "פשוטים" דוגמת נורות, שכן המוצרים הללו מחוברים לרשת מרכזית שנמצאת בסיכון בהיעדר אבטחה מתאימה. ארגונים וצרכנים שמשתמשים במוצרים שכאלה נדרשים לוודא שהמוצרים מעודכנים בעדכון האבטחה המתקדם ביותר שיוצא וכן לבדוק לאלו רשתות בדיוק המוצרים הללו מחוברים. במציאות הנוכחית, של איומי הדור החמישי, כל מוצר שמתחבר לרשת יכול לשמש משתטח תקיפה על הרשת".

ג'ורג' ייאני (George Yianni) מנהל הטכנלוגיות ב- Philips Hue מסר: "אנו מחוייבים לשמור על הפרטיות של המשתמשים שלנו ועושים כל שביכולתנו בכדי לוודא שהמוצרים בטוחים. אנו מודים לצ'ק פוינט על השיתוף האחראי בממצאים אשר אפשר לנו להתקין עדכוני אבטחה מתאימים שימנעו סיכון של צרכנים".