Philips Hue, Ikea Tradfri und andere Zigbee-Produkte gehackt
Alexander Trust, den 5. Februar 2020
IT-Forensiker von Check Point Research konnten „Smart Home“-Produkte mehrerer Hersteller hacken, die über das Zigbee-Protokoll kommunizieren. Sie waren in der Lage, die Geräte fernzusteuern und neue Software aufzuspielen. Dies geht auf eine Lücke in Philips Hue Birnen zurück, die man schon 2016 entdeckte.
Auf den ersten Blick klingt es weniger dramatisch. Es gelang Mitarbeitern von Check Point Research Philips Hue Lampen zu hacken. – „Was können die schon damit anstellen?“, lautet vielleicht die Frage. Eine Glühbirne umschalten?
Hacker installieren neue Software
Befindet sich ein Angreifer im gleichen Netzwerk wie die betroffenen Produkte, kann er ein Software-Update für die Hue-Lampen anstoßen. Der Nutzer verliert darüber dann die Kontrolle und der Hacker kann diese fernsteuern. Er könnte also Disko-Stimmung im Wohnzimmer herrschen
Es kommt noch schlimmer
Doch dies ist nur der erste Schritt. Denn löscht ein Nutzer die gehackte Lampe aus der eigenen Verwaltungssoftware und fügt sie erneut hinzu, dann überspielt das modifizierte Produkt Daten auf die Hue Bridge.
Einmal geschehen, kann der Hacker dann die Daten der Bridge auch aus der Ferne steuern und weitaus größeren Schaden anrichten, indem er auch Zugriff auf weitere, über die Bridge kontrollierte Smart-Home-Produkte erhält. Da Hue-Lampen mittels Zigbee-Protokoll kommunizieren erlaubt dies den Hackern auch Zugriff auf Produkte wie Amazons Ring-Kamera, Samsungs SmartThings, Ikea Trådfri und Belkins WeMo.
Alarme, Sensoren, Überwachungskameras und auch Smart TVs könnten so überwacht werden. Ein Eingriff in die Privatsphäre.
Update für Hue-Lampen verfügbar
Wenn Ihr daheim Philips Hue Lampen im Einsatz habt, solltet Ihr deren Softwareversion überprüfen. Denn es gibt bereits ein Update auf Version 1935144040. Diese schließt die Sicherheitslücke, die Check Point Research im Video nachweisen konnte.
[mn-youtube id=“4CWU0DA__bY“]
Ursache kann nicht behoben werden
Das jetzt veröffentlichte Update verhindert lediglich die Möglichkeit zur Manipulation der Bridge. Doch das Einfallstor kann nicht geschlossen werden. Zwar erkannte man die Sicherheitslücke schon 2016. Doch kann sie lediglich über ein Hardware-Upgrade der Hue-Birnen geflickt werden.
Allianz von Smart-Home-Anbietern
Vor diesem Hintergrund können wir die neue Allianz von Amazon, Apple, Google und Zigbee nur begrüßen. Die Hersteller wollen einen gemeinsamen, sicheren Standard für Smart Home Produkte entwickeln.