Un fallo en las bombillas inteligentes Hue permite lanzar ataques contra los equipos conectados a una red Wi-Fi

Alejo I
5 31 32
Noticias » Tecnología
The Hacker News y la firma de seguridad Check Point han dado a conocer un grave fallo de seguridad en los sistemas de iluminación inteligente Philips Hue gracias al cual un intruso podría ganar acceso a redes Wi-Fi y desde ahí lanzar ataques contra los dispositivos conectados. No es la primera vez que este tipo de dispositivos son noticia por el descubrimiento de bugs, pero el agujero que nos ocupa es singularmente grave por sus implicaciones.

De acuerdo con Check Point, las vulnerabilidades de las lámparas Hue se pueden aprovechar utilizando un exploit del protocolo ZigBee, utilizado en la gama de iluminación inteligente de Philips entre otros muchos aparatos domóticos.

La secuencia comienza con el atacante aprovechando una vulnerabilidad ya conocida para modificar el brillo de una lámpara para hacer creer a su usuario legítimo que tiene un problema. La lámpara se muestra erróneamente como no accesible en la aplicación de control, y el usuario trata de reiniciarla en busca de una solución. Para ello, la lámpara se desconecta y se indica al dispositivo bridge o puente (el centro de control independiente que gestiona las lámparas del hogar) que vuelva a agregarla.

Vídeo demostrativo publicado por Check Point que ilustra todos los pasos dados por un atacante para poner en peligro una red a través de una lámpara Philips Hue.

Cuando esta bombilla es reincorporada a la red del dispositivo bridge, su firmware ha sido actualizado con una versión que contiene código malicioso. Este código explota las mencionadas vulnerabilidades del protocolo ZigBee para lanzar un ataque de desbordamiento de búfer basado en pila que a su vez permite instalar malware en el centro de control. Una vez infectado el aparato, la red Wi-Fi queda en peligro. A partir de ese momento es posible utilizar diversos exploits para diseminar malware entre los equipos conectados.

Check Point informó a Philips en noviembre del año pasado y la firma elaboró un parche para atajar el fallo. Ahora que ha pasado el tiempo concedido como margen de seguridad, los investigadores han decidido hacer público su descubrimiento para dar testimonio del bug y su potencial. Como medida de seguridad, se recomienda que todos los usuarios de un sistema de lámparas Hue actualicen el firmware si aún no lo han hecho.
32 comentarios
  1. ¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?
  2. El internet de las cosas... Como dice el primer comentario, absurdo en ciertos articulos
  3. Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?

    Antes leí que existe un inodoro inteligente. [qmparto] [qmparto]
  4. Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?


    La programacion horaria de su funcionamiento? Cambiar su intensidad/color? Divago porque yo nunca he tenido una bombilla de éstas.......
  5. Ya consiguen tú privacidad hasta por medio de las bombillas,ni cagando en casa va a estar tranquilo uno.Ya me veo usando velas...
  6. Ryo Dragoon escribió:¿Me puede alguien explicar el motivo práctico de convertir un aparato de una sola y única función en un dispositivo inteligente?


    Sí: Pijadas inútiles.
  7. Como está el patio últimamente con estas tecnologías.
    No meto una mierda de estas en casa ni loco y todo para encender bombillas sin levantar el culo.
  8. Yo las tengo desde hace 2 años y todo perfecto. En realidad es muy cómodo que al llegar a casa te reciba con la luz encendida y al salir se apague en automático.

    Reconozco que es un capricho, pero si puedes y quieres darte el gusto hazlo
  9. IoT → IoS (Internet of Shit). Nos la van a meter dobladisima con tanto 'smart'.
  10. Pues yo tengo el salón, el estudio y la habitación de matrimonio con hue, y más encantado no puedo estar.
    Una domotización "barata" con control de voz (Alexa) y que funciona a las mil maravillas, amén de la programación horaria y por ubicación.

    A esperar una actualización de seguridad y arreando, y sabiendo como funciona la vulnerabilidad me preocupa poco (Amén de que, siendo honestos, ni dios va a intentar esto en un barrio cualquiera xDD)
Ver más comentarios »