Un fallo en las bombillas inteligentes Hue permite lanzar ataques contra los equipos conectados a...

The Hacker News y la firma de seguridad Check Point han dado a conocer un grave fallo de seguridad en los sistemas de iluminación inteligente Philips Hue gracias al cual un intruso podría ganar acceso a redes Wi-Fi y desde ahí lanzar ataques contra los dispositivos conectados. No es la primera vez que este tipo de dispositivos son noticia por el descubrimiento de bugs, pero el agujero que nos ocupa es singularmente grave por sus implicaciones.

De acuerdo con Check Point, las vulnerabilidades de las lámparas Hue se pueden aprovechar utilizando un exploit del protocolo ZigBee, utilizado en la gama de iluminación inteligente de Philips entre otros muchos aparatos domóticos.

La secuencia comienza con el atacante aprovechando una vulnerabilidad ya conocida para modificar el brillo de una lámpara para hacer creer a su usuario legítimo que tiene un problema. La lámpara se muestra erróneamente como no accesible en la aplicación de control, y el usuario trata de reiniciarla en busca de una solución. Para ello, la lámpara se desconecta y se indica al dispositivo bridge o puente (el centro de control independiente que gestiona las lámparas del hogar) que vuelva a agregarla.

Vídeo demostrativo publicado por Check Point que ilustra todos los pasos dados por un atacante para poner en peligro una red a través de una lámpara Philips Hue.

Cuando esta bombilla es reincorporada a la red del dispositivo bridge, su firmware ha sido actualizado con una versión que contiene código malicioso. Este código explota las mencionadas vulnerabilidades del protocolo ZigBee para lanzar un ataque de desbordamiento de búfer basado en pila que a su vez permite instalar malware en el centro de control. Una vez infectado el aparato, la red Wi-Fi queda en peligro. A partir de ese momento es posible utilizar diversos exploits para diseminar malware entre los equipos conectados.

Check Point informó a Philips en noviembre del año pasado y la firma elaboró un parche para atajar el fallo. Ahora que ha pasado el tiempo concedido como margen de seguridad, los investigadores han decidido hacer público su descubrimiento para dar testimonio del bug y su potencial. Como medida de seguridad, se recomienda que todos los usuarios de un sistema de lámparas Hue actualicen el firmware si aún no lo han hecho.

Fuente: Check Point
Ryo Dragoon está baneado del subforo por "flames"
¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?
El internet de las cosas... Como dice el primer comentario, absurdo en ciertos articulos
Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?

Antes leí que existe un inodoro inteligente. [qmparto] [qmparto]
Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?


La programacion horaria de su funcionamiento? Cambiar su intensidad/color? Divago porque yo nunca he tenido una bombilla de éstas.......
Ya consiguen tú privacidad hasta por medio de las bombillas,ni cagando en casa va a estar tranquilo uno.Ya me veo usando velas...
Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?


Sí: Pijadas inútiles.
Como está el patio últimamente con estas tecnologías.
No meto una mierda de estas en casa ni loco y todo para encender bombillas sin levantar el culo.
Yo las tengo desde hace 2 años y todo perfecto. En realidad es muy cómodo que al llegar a casa te reciba con la luz encendida y al salir se apague en automático.

Reconozco que es un capricho, pero si puedes y quieres darte el gusto hazlo
IoT → IoS (Internet of Shit). Nos la van a meter dobladisima con tanto 'smart'.
Pues yo tengo el salón, el estudio y la habitación de matrimonio con hue, y más encantado no puedo estar.
Una domotización "barata" con control de voz (Alexa) y que funciona a las mil maravillas, amén de la programación horaria y por ubicación.

A esperar una actualización de seguridad y arreando, y sabiendo como funciona la vulnerabilidad me preocupa poco (Amén de que, siendo honestos, ni dios va a intentar esto en un barrio cualquiera xDD)
Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?

En este caso, usar un Ambilight para toda la habitación, por ejemplo. O programar las luces para que se enciendan cuando estás de vacaciones y espantar a los cacos. La iluminación inteligente es una de las pocas cosas que realmente tienen sentido en todo esto del IoT doméstico. Pero hay que hacerlo bien.

coyote escribió:IoT → IoS (Internet of Shit). Nos la van a meter dobladisima con tanto 'smart'.

https://twitter.com/internetofshit

Fan.

Cory escribió:Ya esta parchada la vulnerabilidad

https://www.engadget.com/2020/02/05/phi ... erability/

Está al final de la propia noti ;)
Alejo I escribió:Está al final de la propia noti ;)


Pues es verdad no lo había visto [+risas]

Todo actualizado así que estoy a salvo

Imagen
Menudo éxito, usar un exploit como Eternal Blue, que está más que parcheado, para decir que puedes atacar otros equipos de la red, me parece amarillismo barato. Una instalación de Windows 7 sin SP1 no la tiene nadie en casa....
kruzcamporro escribió:Ya consiguen tú privacidad hasta por medio de las bombillas,ni cagando en casa va a estar tranquilo uno.Ya me veo usando velas...

Si, pero la van colando y cuando nos demos cuenta sin necesidades que nos han impuesto... Recordemos cuando viviamos sin moviles sin ir mas lejos.
Tengo algunos compañeros que tienen toda la casa con estas o las xiaomi. Cuando les preguntas para que las quieren dicen que molan [bye]
Yo tengo toda la casa con bombillas hue.
Es una pijada? Si.
Es muy cómodo y viene bien en muchísimas ocasiones? También.
Que se enciendan solas al llegar, que se apaguen solas cuando tú quieras, poder encenderlas a distancia, etc etc
Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?


Entre otras muchisimas cosas y para no extenderme, tengo el salon con 9 oculos empotrados, 2 lightbar y una tira de 2 metros y ver las peliculas con todo el ambilight puesto es un gustazo.

Pero que sabre yo, como dice la del anuncio
Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?


para hacertelo facil ,convertirlo sirve paraque de una y sola funcion pase a tener miles de funciones...


tengo unas 50 bombillas HUE en casa, por si te interesa saber de que se pueden usar :) , me costaria bastante volver a las antiguas bombillas "tontas"...
yeye2 escribió:
Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?


para hacertelo facil ,convertirlo sirve paraque de una y sola funcion pase a tener miles de funciones...


tengo unas 50 bombillas HUE en casa, por si te interesa saber de que se pueden usar :) , me costaria bastante volver a las antiguas bombillas "tontas"...


Tengo una duda como controlas tantas bombillas? Con el mismo bridge no creo que sea posible controlar 50, o lo haces por medio de zygbee y Alexa?
yeye2 escribió:Tengo una duda como controlas tantas bombillas? Con el mismo bridge no creo que sea posible controlar 50, o lo haces por medio de zygbee y Alexa?


Son 50 justas las que soporta el bridge de HUE.

Un saludo!
@thakeox
Perfecto eso no lo sabia. Tengo pendiente comprar otras 4
Yo también tengo tanto dispositivos inteligentes comerciales como algunos que he hecho yo y es un gustazo.

Bombillas que se regulan según el ambiente (y gastan menos).
Macetas que se riegan solas.
Enchufes que cortan el consumo de electrodomésticos de forma automática
El conga, que imagino que muchos teneis, que me permite desde el trabajo ponerlo a trabajar.
Leyendo los comentarios de algunos pareceis neandertales tecnologicos totales.
Pues yo la percepción que tengo es que según vamos usando cada vez más tecnología en el día a día y vamos delegando funciones a estos aparejos, más vulnerables somos e indefensos estamos.
CASTIGADOR escribió:Leyendo los comentarios de algunos pareceis neandertales tecnologicos totales.

Totalmente, la mentalidad de como a mi no me hace falta o no me interesa, ya no sirven para nada y para nadie. Extrapólalo a cualquier gadget. Es como si yo dijera que la Nintendo Switch es una puta mierda para entretener a gilipollas solo porque a mi no me interesa esa consola.
Yo tengo muchas cosas "inteligentes" en casa. Bombillas, sensores de presencia, adaptadores para encender y apagar aires o radiadores, tiras de led en la terraza...
Se ahorra mucho dinero en la factura de la luz anualmente, puedes programar y que el baño se caliente a una hora predeterminada cuando te levantas para ducharte, que la cafetera se encienda sola y cuando llegas a la cocina lista para el café, hacer que el aire acondicionado se encienda cuando quieras estando en la calle y encontrarte la casa caliente al llegar, programar bombillas si viajas para que se enciendan y asi no te sale la puta luz roja del contador de luz en la calle y de paso alejas a los amigos de lo ajeno en vacaciones, que se enciendan las luces al llegar a casa y se apaguen cuando te vas, nunca mas te olvidas luces encendidas, encender o apagar la TV y controlarla con la voz si estas con las manos ocupadas comiendo o llevas bandejas, platos. La lista es casi interminable.
Pero eh, que no sirve para nada.
Lo de Philips, salió en enero una actualización para el bridge y se me instaló automáticamente corrigiendo el problema.
tronchogordo escribió:Pues yo la percepción que tengo es que según vamos usando cada vez más tecnología en el día a día y vamos delegando funciones a estos aparejos, más vulnerables somos e indefensos estamos.


That's the point.
McDormand escribió:
tronchogordo escribió:Pues yo la percepción que tengo es que según vamos usando cada vez más tecnología en el día a día y vamos delegando funciones a estos aparejos, más vulnerables somos e indefensos estamos.


That's the point.


Si, lo mismo que decian hace 20 años cuando mercedes empezo a meter sensores a sus coches... los flanders neandertales tecnologicos de siempre diciendo que eso solo sirve para problemas... que se te estropea un sensor y el coche deja de funcionar... que eso es para que gastes mas dinero y vayas mas al taller, y demas memeces que obviamente, con el tiempo se ha demostrado que la "automatizacion" de los coches (o meter tecnologia en los coches) lo unico que aporta son beneficios, mejoras y comodidades.

Con esto de los hogares inteligentes, pues sera lo mismo.

Por cierto, que no os hagais un drama por el tema seguridad, y la red wifi de vuestra casa con estas bombillas... seguro que vuestro router tiene un firmware que no se actualiza, con suerte, desde 2013 o por ahi , y el movil android con la version de android de hace 2 años con 30 vulnerabilidades tambien esta conectado a vuestra wifi. Si os preocupa el tema seguridad informativa en vuestro hogar, yo empezaria por revisar router y moviles conectados a la wifi. Cuando tengais eso controlado, tendreis los conocimientos suficientes para saber cuanto os teneis que preocupar por las HUE.
m0wly escribió:
McDormand escribió:
tronchogordo escribió:Pues yo la percepción que tengo es que según vamos usando cada vez más tecnología en el día a día y vamos delegando funciones a estos aparejos, más vulnerables somos e indefensos estamos.


That's the point.


Si, lo mismo que decian hace 20 años cuando mercedes empezo a meter sensores a sus coches... los flanders neandertales tecnologicos de siempre diciendo que eso solo sirve para problemas... que se te estropea un sensor y el coche deja de funcionar... que eso es para que gastes mas dinero y vayas mas al taller, y demas memeces que obviamente, con el tiempo se ha demostrado que la "automatizacion" de los coches (o meter tecnologia en los coches) lo unico que aporta son beneficios, mejoras y comodidades.

Con esto de los hogares inteligentes, pues sera lo mismo.

Por cierto, que no os hagais un drama por el tema seguridad, y la red wifi de vuestra casa con estas bombillas... seguro que vuestro router tiene un firmware que no se actualiza, con suerte, desde 2013 o por ahi , y el movil android con la version de android de hace 2 años con 30 vulnerabilidades tambien esta conectado a vuestra wifi. Si os preocupa el tema seguridad informativa en vuestro hogar, yo empezaria por revisar router y moviles conectados a la wifi. Cuando tengais eso controlado, tendreis los conocimientos suficientes para saber cuanto os teneis que preocupar por las HUE.

No he dicho nada de las bombillas en concreto, precisamente decía lo que has acabado diciendo tu mismo.

Mi router está actualizado, un livebox+, conozco todos y cada uno de los dispositivos que se conectan o se han conectado (*). Ahora mismo tenemos un android de unos meses que se sigue actualizando, un iphone 6 y un ipad que son dos coladeros.

(*) tengo ipv6 real y no consigo abrir puertos concretos que necesito, a ver si sabes algo.
Gracias, un saludo.
@m0wly
Yo creo que todos los que tenemos PHILIPS hue en casa somos algo ñoños y tenemos router y teléfonos actualizados al menos en mi caso tengo android 10 y un router de xiaomi que se actualizo por última vez hace poco menos de 3 meses. En la PC siempre tengo Windows y GNU/Linux con todos los parches de seguridad

Imagen
Cory escribió:
yeye2 escribió:
Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?


para hacertelo facil ,convertirlo sirve paraque de una y sola funcion pase a tener miles de funciones...


tengo unas 50 bombillas HUE en casa, por si te interesa saber de que se pueden usar :) , me costaria bastante volver a las antiguas bombillas "tontas"...


Tengo una duda como controlas tantas bombillas? Con el mismo bridge no creo que sea posible controlar 50, o lo haces por medio de zygbee y Alexa?


como te han comentado , puedes controlar hasta 50 bombillas, de todas maneras tengo 2 hub's para mas comodidad.
32 respuestas