Ablauf des Hacks

Konkret lief das Angriffsszenario wie folgt ab (vgl. auch das Video unten):

Der Hacker manipuliert die Farbe oder Helligkeit der Glühbirne, um die Benutzer glauben zu machen, die Glühbirne habe eine Störung. Sie erscheint in der zugehörigen App als «unerreichbar», weswegen der Benutzer versuchen wird, das Leuchtmittel «zurückzusetzen».

Die einzige Möglichkeit aber, die Glühbirne «neu zu starten», besteht darin, sie aus der App zu löschen und den Controller anzuweisen, die Glühbirne wieder zu finden.

Die App entdeckt die kompromittierte Glühbirne wie gewohnt und der Benutzer fügt sie in sein Netzwerk ein.

Die von Hackern kontrollierte Lampe mit schädlicher Firmware nutzt sodann die Schwachstellen des ZigBee-Protokolls, um einen Heap-basierten Pufferüberlauf auf der Steuerung auszulösen, wofür sie eine sehr grosse Datenmenge sendet. Diese Datenpakete ermöglichen es dem Hacker zudem, heimlich eine Malware auf dem Controller zu installieren – der wiederum mit dem restlichen Netzwerk verbunden ist.

Die Malware verbindet sich mit dem Hacker und kann über eine bekannte Schwachstelle (wie EternalBlue) von der Kontrollbrücke aus in das Ziel-IP-Netzwerk eindringen, um dort beispielsweise Ransomware oder Spyware zu verbreiten.

Die Forschungsergebnisse wurde gemäss Check Point Research bereits im November 2019 Philips und Signify – dem Eigentümer der Marke Philips Hue – mitgeteilt. Signify bestätigte die Existenz der Schwachstelle in ihrem Produkt und gab eine gepatchte Firmware-Version (Firmware 1935144040) heraus, die nun über das automatische Update verfügbar ist. Allen Käufern der Glühbirnen wird empfohlen, sicherzustellen, dass ihr Produkt das automatische Update dieser Firmware-Version erhalten hat.