A Philips láthatóan nagyon komolyan gondolja a szerepvállalását a dolgok internetének (Internet of Things, IoT) kiépítésében. Nagyban például a közvilágítás megreformálásán dolgozik, kisebb léptékben pedig ott van a Hue termékcsaládja, amely mobileszközökkel távolról vezérelhető világítótesteket takar. A távolról vezérlés azonban nem csak kényelmi funkció lehet, hanem csábító biztonsági rés is.

Segítség!

A meglehetősen drámai, IoT Goes Nuclear címmel most publikált kísérletet kanadai és izraeli kutatók hajtották végre. Céljuk az volt, hogy rámutassanak a Philips lámpáiban rejlő biztonsági rizikóra. A fehérkalapos hackerek egy drónt láttak el az irányítás átvételéhez szükséges eszközökkel, majd 350 méterről "ráküldték" a szerkezetet egy épületre, ahol az egyik szinten több okoslámpát telepítettek. (A célépület mellesleg több biztonsági cég, illetve az izraeli CERT telephelyét is adja.)

Ahogy az alábbi videóban megfigyelhető, már egészen messziről elkezdenek felvillanni az izzók. Az igazi támadás aztán közelebbről, de még mindig tekintélyes távolságról indul, és teljes sikerrel zárul. Esetünkben ez azt jelenti, hogy a lámpák, ha nem is tökéletes összhangban, de szorgosan elkezdik morzézni a segélykérés nemzetközi betűküdját, az S.O.S.-t. 

A könnyen és mindössze néhány száz dollárból beszerezhető eszközökkel végrehajtott hackelés ugyan nem tűnik túl kártékonynak, ám a kutatók szerint ugyanezt a trükköt sokkal nagyobb léptékben is meg lehetne valósítani. Ez egy okoslámpáktól hemzsegő városban pedig akár az elektromos hálózatban is képes lenne károkat okozni.

Az irányítást egyébként úgy sikerült átvenni, hogy a drónról egy kártékony frissítést küldtek az eszközökre, amelyet azok a hiba miatt simán elfogadtak és lefuttattak. Innentől pedig teljesen szabad kezet kaptak a fehérkalapos "bűnözők". 

Csak óvatosan

Az eset kapcsán a tanulmány készítői arra akartak rávilágítani, hogy mennyire kényes kérdés a biztonság, hiszen még olyan hatalmas vállalatok termékeiben is tátonghatnak kihasználható rések, mint amilyen a Philips. Az IoT-ban rejlő általános jellegű kockázatokról egy korábbi cikkünkben számoltunk be részletesen.

Szerencsére a mostani példával a gyakorlatban már nem kell foglalkozni, hiszen a kutatók azonnal értesítették a céget. A kísérlet publikálásával pedig kivártak addig, amíg a Philips egy csendben kiadott frissítéssel befoltozta a rendszerén talált rést.