חשמל זורם בכפות ידיך – והנתונים נקצרים מהמנורה החכמה

חולשות אבטחה חמורות בפרוטוקול הנורות החכמות של פיליפס. את החולשות איתרו חוקרי הגנת הסייבר של צ'ק פוינט.

החולשות איפשרו החדרת נוזקות לעסקים, רשויות ובתים המשתמשים בנורות אלו, על ידי השתלטות מרחוק על הנורות וניצול החיבור שלהן מצד אחד לרשת הרדיו – ומן הצד השני אל רשת המחשבים. החולשות שנמצאו לטענת חוקרי ענקית האבטחה הישראלית "ממחישות את הסכנות הקיימות במוצרי האינטרנט של הדברים, אשר נועדו להתחבר לרשת האינטרנט אך נעדרים, במרבית המקרים, הגנה מספקת".

המחקר התמקד בנורות החכמות מדגם Philips Hue – מובילת השוק העולמי בתחום. החולשות (CVE-2020-6007) מתמקדות בפרוטוקול –ZigBee –  פרוטוקול אלחוטי המשמש לשליטה בנורות ואשר נמצא בשימוש בקשת רחבה של מוצרי IoT.

החוקרים, בסיוע מכון צ'ק פוינט לאבטחת מידע באוניברסיטת תל אביב (CPIIS), תקפו את הבקר (Philips Hue Bridge), אשר מנהל את הנורות ומחובר במקביל גם לרשת הרדיו וגם לרשת המחשבים הביתית, או הארגונית. בשלב ראשון של תהליך התקיפה מתבצעת השתלטות על נורה ושינוי של צבע ועוצמת התאורה שלה. זאת, במטרה לגרום לצרכן לחשוב שישנה בעיה בתפקוד הנורה. בשלב זה, הנורה מופיעה כ-"לא זמינה" באפליקציית השליטה. אז, הצרכן ינסה להגדירה מחדש על ידי מחיקת הנורה מהאפליקציה – והתחלת פעולת חיפוש, שתאתר את הנורה ותוביל להתקנתה מחדש. בשלב זה החוקרים ניצלו חולשת מימוש בפרוטוקול השליטה בנורות שבבקר, על מנת להשיג שליטה בבקר עצמו ודרכו – להשיג גישה אל הרשת המחוברת אליו. בצורה זו, תוקף יכול להחדיר את הנוזקה הרצויה על ידו, דרך הנורה, אל הבקר השולט בה ואל רשת המחשבים אליה מחובר הבקר.

פיליפס ו-Signify, בעלת המותג Philips Hue – אישרו את קיומן של החולשות והוציאו להן עדכון תוכנה המעודכן באופן אוטומטי (Firmware 1935144040). חוקרי ענקית האבטחה הישראלית ממליצים לכל המשתמשים לוודא כי המוצר שברשותם אכן מעודכן בעדכון האחרון, דרך אפליקציות ניהול הנורות.

יניב בלמס, מנהל מחלקת מחקר הסייבר של צ'ק פוינט. צילום: יח"צ

"הסכנות הטמונות במוצרי IoT מדוברות זה כמה שנים"

יניב בלמס, מנהל מחלקת מחקר הסייבר של צ'ק פוינט, אמר כי "הסכנות הטמונות במוצרי IoT מדוברות זה כמה שנים. המחקר שלנו מוכיח עד כמה הסיכון ממשי, גם כשמדובר במוצרים 'פשוטים', דוגמת נורות, שכן המוצרים הללו מחוברים לרשת מרכזית שנמצאת בסיכון – בהיעדר אבטחה מתאימה".

בלמס הוסיף כי: "ארגונים וצרכנים שמשתמשים במוצרים שכאלה נדרשים לוודא שהמוצרים מעודכנים בעדכון האבטחה המתקדם ביותר שיוצא, וכן לבדוק לאלו רשתות בדיוק המוצרים הללו מחוברים".

"במציאות הנוכחית, של איומי הדור החמישי, כל מוצר שמתחבר לרשת יכול לשמש משתטח תקיפה על הרשת" אמר והוסיף כי "צ'ק פוינט היא חברת הגנת הסייבר הראשונה בעולם המחזיקה בפתרון אבטחה שמקשיח את התוכנה במוצרי IoT, ובכך מגן עליהם מחולשות שכאלו. זאת, בעקבות רכישת סימפליפיי בדצמבר האחרון".

צ'ק פוינט שיתפה בערוץ היוטיוב שלה סרטון שמדגים את הסכנות והממצא.