Hakowanie żarówek. Ciemna strona Internetu rzeczy

Zaledwie tydzień temu w artykule „Złamano zabezpieczenia japońskich toalet. Użytkownicy w niebezpieczeństwie!” opisywałem możliwość przejęcia kontroli nad nowoczesną toaletą. Okazuje się, że wykryto lukę w zabezpieczeniach kolejnych przedmiotów stanowiących wyposażenie domu – tym razem ofiarą włamania padły żarówki Philipsa. Co udało się z nimi zrobić?

Philips Hue to system oświetlenia, składający się z żarówek i kontrolera, podłączanego do domowego routera. Dzięki temu rozwiązaniu domowym oświetleniem można sterować zarówno za pomocą mobilnej aplikacji, jak i strony internetowej, umożliwiającej logowanie do panelu kontrolnego.

Dzięki protokołowi ZigBee i narzędziom takim, jak (If This Than That) możliwe jest tworzenie reguł, definiujących zachowanie żarówek po spełnieniu określonych warunków – światło może nie tylko zapalać się i gasnąć, ale np. zmieniać kolor w zależności od prognozy pogody czy jakichś wydarzeń z serwisów społecznościowych – możliwości jest w tym przypadku bez liku.

Analizą bezpieczeństwa żarówek Philips Hue zajął się Nitesh Dhanjani, któremu udało się włamać do kontrolera, zarządzającego pracą żarówek. Dzięki temu możliwe stało się np. pokazane na filmie wyłączenie oświetlenia w całym domu.

Aby pozbyć się problemu, użytkownik może odłączyć kontroler – żarówki zaczną wówczas świecić, ale nie będą dostępne ich dodatkowe funkcje. W kontekście opisanego problemu zastanawia reakcja Philipsa - Nitesh Dhanjani miał wielokrotnie kontaktować się z firmą, zgłaszając swoje odkrycie, jednak jego zgłoszenie pozostało bez odpowiedzi.

Choć włamanie do systemu oświetlenia nie wydaje się szczególnie przerażające, a do tego wymaga wcześniejszego dostępu do domowej sieci, to pokazuje, że Internet rzeczy z dziurawymi zabezpieczeniami może okazać się raczej utrapieniem, niż udogodnieniem, a problem bezpieczeństwa przestaje dotyczyć wyłącznie komputera czy smartfonu.