Teuer und dennoch nicht sicher: Das LED-Lichtsystem Hue von Phillips ist leichtes Spiel für Hacker. Checkpoint zeigt, wie das smarte auch zum virenverseuchten Home wird – Cybererpressung eingeschlossen.
Lichtsteuerung per App und Sprachassistenten erfreut sich steigender Beliebtheit. Im besten Fall lassen sich LED-Glühbirnen, Decken- und Dekorleuchten oder Bewegungsmelder einfach ins Heimnetzwerk einbinden und diverse Licht-Modi bequem steuern. Wenn nicht gerade ein Update der App die Nutzer in den Wahnsinn treibt, wie CRN kürzlich den Fall bei Ikea-Lampen beschrieben hat, erfreuen sich Nutzer an den Effekten der chipbasierten IoT-Leuchtsysteme. Philips langt bei seinem umfangreichen Sortiment Hue denn auch kräftig zu. Ausgerechnet den Marktführer führt nun IT-Sicherheitsfirma Checkpoint öffentlich vor: Hue lässt sich leicht kompromittieren, wie eine Demo zeigt.
Der Angreifer übernimmt zuerst die Steuerungseinheit von Hue, die so genannte Bridge, danach kann er sich im Heimnetzwerk austoben und das komplette Programm durchziehen – angefangen vom vermeintlich harmlosen Licht an- und ausknipsen oder die Farbe flackern und wechseln lassen. Warum vermeintlich harmlos?
Es gehört zum Angriffsplan, Punkt 1, wie Checkpoint das fünfstufige Szenario in einem Video durchspielt:
Wie immer bei solchen »Whitehacks« informieren IT-Sicherheitsfirmen betroffene Hersteller lange bevor sie mit der Schwachstelle an die Öffentlichkeit gehen. So auch Checkpoint. Im November wurde Philips, beziehungsweise Signify als Markeninhaberin, kontaktiert. Der anschließende Patch mit dem Firmware-Update 1935144040 schloss die Schwachstelle.
Hue-Systeme der Nutzer, die das automatische Firmware-Update aktiviert haben, dürften geschützt sein. Wer jedoch Fehlfunktionen oder Verlust seiner Einstellungen im Smart Home durch automatische Updates fürchtet (wozu es durchaus Grund gibt) und daher sein System auf manuelle Updates eingestellt hat, sollte jetzt die Firmware auf neuesten Stand bringen, rät Checkpoint.