Bốn năm trước, các nhà nghiên cứu bảo mật cho thấy Làm thế nào một máy bay không người lái có thể hack toàn bộ căn phòng đầy bóng đèn thông minh Philips Hue từ ở ngoài một tòa nhà, bằng cách tạo ra một phản ứng dây chuyền giống như virus đã nhảy từ bóng đèn này sang bóng đèn khác. Ngày nay, chúng tôi đã học được rằng lỗ hổng không bao giờ được khắc phục hoàn toàn – và bây giờ, các nhà nghiên cứu đã tìm ra cách khai thác vấn đề tương tự để xâm nhập vào mạng gia đình hoặc công ty của bạn, trừ khi bạn cài đặt một bản vá.
Đó là từ mà từ công ty nghiên cứu an ninh mạng Check Point Software, và tin tốt là bạn nên đã sẵn sàng được an toàn từ phần tồi tệ nhất của hack. Nếu Trung tâm Philips Hue điều khiển bóng đèn của bạn được kết nối với internet, thì nó sẽ tự động cập nhật lên phiên bản 1935144040 ngay bây giờ, trong đó có bản vá bạn muốn. (Điểm kiểm tra đã thông báo cho Philips vào tháng 11 và một bản vá đã được phát hành vào giữa tháng 1.) Tôi vừa kiểm tra phiên bản phần mềm trung tâm của riêng mình trong ứng dụng Philips Hue và tôi thấy tốt.
Nó cũng rất vui khi biết rằng có thể đã cần một hacker khá thông minh, kiên nhẫn để khai thác lỗ hổng này ngay từ đầu. Ngoài việc có thể tải lên một bản cập nhật không dây độc hại lên bóng đèn Huế (kỹ thuật sử dụng năm 2016), nó dựa vào việc gây rối với màu sắc và độ sáng của bóng đèn bị hack đủ lâu để lừa chủ sở hữu đặt lại và thêm lại bóng đèn đó vào mạng riêng của họ, tại đó bóng đèn bị hack áp đảo dữ liệu của Hub Hub, kiểm soát Hub lần lượt Ở đây, cách thức Check Point giải thích phần đó:
Bóng đèn do hacker kiểm soát với phần sụn được cập nhật sau đó sử dụng các lỗ hổng giao thức ZigBee để kích hoạt tràn bộ đệm dựa trên heap trên cầu điều khiển, bằng cách gửi một lượng lớn dữ liệu tới nó. Dữ liệu này cũng cho phép tin tặc cài đặt phần mềm độc hại trên cầu – lần lượt được kết nối với doanh nghiệp mục tiêu hoặc mạng gia đình.
Nhưng có vẻ như một lần nữa, bóng đèn chúng tôi vẫn có thể dễ bị tấn công Khi chiếc máy bay không người lái đó phát hiện ra một loại virus IoT thu nhỏ vào năm 2016, các công ty đã tìm ra cách giải quyết cho tình huống xấu nhất đó bằng cách hạn chế những bước nhảy từ bóng đèn đến bóng đèn, viết Check Point. Tuy nhiên, do những hạn chế trong thiết kế, lỗ hổng của bóng đèn vẫn còn, dẫn đến vụ hack mới – và có lẽ các vụ hack khác chưa được phát hiện trong tương lai của chúng ta, miễn là những bóng đèn này vẫn hoạt động. Để những bóng đèn này dễ bị tổn thương có thể nguy hiểm hơn là chỉ để một hacker bật và tắt đèn của bạn theo ý muốn.
Và mặc dù Check Point chưa nhất thiết phải thử nghiệm các thương hiệu khác, nhưng các nhà nghiên cứu của nó khẳng định lỗ hổng này có thể không giới hạn ở các bóng đèn và trung tâm của Philips Hue. Nó có trong giao thức truyền thông Zigbee được sử dụng bởi vô số thương hiệu nhà thông minh, bao gồm Amazon, Ring, Samsung SmartThings, Ikea Tradfri, Belkin tựa WeMo, cũng như khóa Yale, bộ điều nhiệt Honeywell và hệ thống báo động Comcast tựa Xfinity Home.
Nó sẽ rất thú vị khi xem có bao nhiêu thiết bị mà chủ nhà và doanh nghiệp đã mua – những thiết bị mà họ có thể dự kiến sẽ tồn tại trong nhiều năm – có thể mở ra cho họ những lỗ hổng bảo mật trong nhiều năm. Và chúng tôi vẫn tự hỏi khi nào mạng botnet IoT lớn tiếp theo được xây dựng từ tiện ích không an toàn cũng có thể nuôi cái đầu xấu xí của nó.
