飞利浦HUE等手机APP智能照明系统风险分析

照明灯从托马斯·爱迪生的钨丝灯发展到半导体照明,而今已经成为联网的电子产品。 飞利浦公司的智能照明产品可提供1600万种颜色变化,利用手机APP就可以进行遥控调节无疑是其中比较成功的一例。


照明产品加入物联网是一次科技飞跃,不过这也意味着这些装置也面临着与其它联网家电一样的安全隐患。

安全研究员Nitesh Dhanjani日前展示了针对飞利浦HUE智能照明系统的攻击技术,可以让受害者完全处于黑暗中。由于认证问题,HUE个人无线系统可能会让用户遭受黑客攻击,导致出现电灯关闭事件。

理论上来说,黑客利用恶意软件加载到对方计算机中,对对方联网的灯具发出关闭的指令,灯泡的供电系统正常但是却不会正常照明。这就是说,灯具处于正常的关闭状态。这听起来或许没有那么糟糕,因为可以手动打开灯泡,但是恶意软件会持续工作,并在灯泡正常照明的一刹将之关闭。

这个恶意软件能够随意侵入任何Hue系统。在这种情况下,灯具不会听从控制程序中的任何命令,也无法改变灯光颜色。

这位研究员表示,HUE系统生成令牌白名单,可用于无线桥对指令进行认证。令牌是认证设备MAC地址的MD5散列。这导致恶意软件通过查看感染设备的ARP缓存,可以计算白名单令牌,从而可以导致持续的照明系统关闭事件。

用户可以在苹果商店和其他地方购买HUE系统,通过iOS和Android应用对1600万种颜色的照明灯泡进行配置。飞利浦发言人在声明中表示,该公司使用工业标准加密与认证技术,来确保未经授权不能访问照明系统。

该发言人表示,这种攻击需要有专有本地网络内的计算机发布内部指令,这意味着如果家庭网络得到有效保护,设备与互联网之间的流量处于安全状态,就不会出现安全风险。

Dhanjani指出,HUE系统的无线桥使用一组令牌来对请求进行认证。同一网络的任何用户只要知道任一令牌,就可以发布HTTP指令来改变电灯的状态。

根据这一研究,通过HUE网站或iOS应用来控制灯泡时,令牌白名单并不是随机的,而是台式机、笔记本或iPhone等设备MAC地址的MD5散列

该研究人员表示,照明对于物理安全至关重要。智能灯光系统可能被安装在住宅和公司建筑中。入侵者远程关闭医院和其他公共场所的照明可能会导致严重的后果。

Hue系统工程师George Yianni表示,已经就Dhanjani的研究与研究人员进行讨论。飞利浦会认真对待这个问题。 (责任编辑:紫荆)

 

来源:新浪科技

【版权声明】
「LEDinside - LED在线」所刊原创内容之著作权属于「LEDinside - LED在线」网站所有,未经本站之同意或授权,任何人不得以任何形式重制、转载、散布、引用、变更、播送或出版该内容之全部或局部,亦不得有其他任何违反本站著作权之行为。
【免责声明】
1、「LEDinside - LED在线」包含的内容和信息是根据公开资料分析和演释,该公开资料,属可靠之来源搜集,但这些分析和信息并未经独立核实。本网站有权但无此义务,改善或更正在本网站的任何部分之错误或疏失。
2、任何在「LEDinside - LED在线」上出现的信息(包括但不限于公司资料、资讯、研究报告、产品价格等),力求但不保证数据的准确性,均只作为参考,您须对您自主决定的行为负责。如有错漏,请以各公司官方网站公布为准。
3、「LEDinside - LED在线」信息服务基于"现况"及"现有"提供,网站的信息和内容如有更改恕不另行通知。
4、「LEDinside - LED在线」尊重并保护所有使用用户的个人隐私权,您注册的用户名、电子邮件地址等个人资料,非经您亲自许可或根据相关法律、法规的强制性规定,不会主动地泄露给第三方。