Philips' dochterbedrijf Signify heeft aangekondigd dat er een patch is uitgerold waarbij een bug die de Philips Hue-lampen trof opgelost moet zijn.
De bug, die gevonden is door Check Point Security, maakte het mogelijk om via de slimme lampen in te breken op het wifi-netwerk dat eraan gelinkt is. Het maakt min of meer gebruik van hetzelfde principe als een bug die in 2017 al werd gevonden, genaamd de Zigbee Chain Reaction.
Een aanvaller kon de kleur of helderheid van de lamp veranderen, waardoor de eigenaar zou kunnen denken dat er iets met de lamp was, om hem daarom te resetten. Dat kan door hem te verwijderen uit de lijst met beschikbare lampen in de app, waarna de Hue Bridge gebruikt kan worden om de verwijderde lamp opnieuw te vinden en te integreren. Vervolgens kon een hacker met de overgenomen lamp via een kwetbaarheid in Zigbee's protocol het thuisnetwerk binnendringen, middels een heap-buffer overflow. Met de grote hoeveelheid data die hierbij wordt verstuurd kan in de tussentijd malware worden geïnstalleerd. Daarmee kan ingebroken worden op het thuisnetwerk, waarna de hacker malafide acties uit kan voeren.
In november is het probleem gerapporteerd aan Signify en Philips, waarna er is begonnen aan het zoeken naar een oplossing. De bug heeft het kenmerk CVE-2020-6007 gekregen. Inmiddels is het probleem opgelost, Philips heeft een aantal weken geleden een update uitgerold die het probleem moet oplossen. De patch is te herkennen aan het nummer '1935144040'. De lampen die sinds 2018 in productie zijn, zijn niet vatbaar voor het probleem.
Bug of geen bug, de driekleurenlampen blijven leuk speelgoed.
Bronnen: AndroidCentral, Check Point Security
