Come spegnere le luci ''intelligenti'' usando un drone

Sono attaccabili a distanza.

[ZEUS News - www.zeusnews.it - 23-11-2016]

Se avete acquistato le lampadine "smart" Hue della Philips, quelle che si possono comandare tramite computer e telefonino, ho una brutta notizia per voi: sono attaccabili a distanza e possono essere usate per disseminare un attacco che si diffonde con una reazione a catena.

Dei ricercatori del Weizmann Institute of Science in Israele e della Dalhousie University in Canada hanno dimostrato, con un articolo tecnico e un test pratico, che il protocollo di comunicazione ZigBee usato da queste lampadine è sfruttabile da un aggressore per inviare alle lampadine un aggiornamento firmware falso e alterato, che poi si diffonde spontaneamente alle lampadine adiacenti, permettendo di controllarle a distanza, per esempio per spegnerle di colpo, lasciando al buio un edificio o un quartiere.

L'attacco è effettuabile senza entrare nell'edificio preso di mira: in una dimostrazione, i ricercatori hanno attivato il reset delle Philips Hue da oltre 150 metri usando apparecchiature comunemente disponibili e sfruttando un drone. In un test il drone ha preso il controllo delle lampadine da 350 metri di distanza, inducendo a lampeggiare secondo il codice Morse con il messaggio "SOS".

Articoli suggeriti:

Spagna, prove generali di apocalisse?

Blackout in Spagna, gli hacker non la raccontano giusta

Matter: l'IoT non sarà più la stessa

Diffidate di qualunque apparecchio abbia meno di 10 anni

Secondo i ricercatori, un drone che sorvolasse una città muovendosi a zigzag "potrebbe disabilitare tutte le lampadine smart Philips Hue nei centri cittadini nel giro di pochi minuti".

L'attacco è possibile perché tutte le lampadine Hue usano per gli aggiornamenti firmware la stessa chiave crittografica di sicurezza, che i ricercatori sono stati in grado di scoprire "nel giro di pochi giorni usando [...] solo apparecchiature economiche e facilmente reperibili che costano qualche centinaio di dollari".

Proposte di lettura:

Lascereste il controllo del termostato di casa all'azienda elettrica?

Google Home, l'assistente domestico

La smart home di Google adesso supporta i comandi IF ... THEN

Le lampadine intelligenti che escludono quelle della concorrenza

Sondaggio

Per quale servizio collegato a un prodotto per la smart home saresti più disposto a pagare fino a 15 euro al mese?

	Lo scongiurare dei guasti dei prodotti smart, per esempio lavastoviglie, connettendoli ai fabbricanti, in modo da identificarli e anticiparne qualsiasi problema.
	Collegamento alla compagnia assicuratrice che interviene in caso di allagamento, intrusione o allarme quando non sono in casa.
	Assistenza nella vita di tutti i giorni per gli anziani.
	Collegamento dei dati relativi alla salute al medico o al reparto ospedaliero per il monitoraggio dei parametri vitali chiave.
	Collegamento alla società di sicurezza che intervenga quando l'allarme si spegne.
	Nessuno di questi

Mostra i risultati (1352 voti)

Leggi i commenti (8)

Questo consente a un aggressore di creare "un attacco veramente devastante a basso costo [...] una singola lampadina infettata con firmware modificato [...] può innescare una reazione a catena esplosiva nella quale ciascuna lampadina infetta e sostituisce il firmware di tutte quelle vicine nel raggio di alcune centinaia di metri". I ricercatori sottolineano che un aggressore potrebbe disabilitare gli ulteriori aggiornamenti, per cui le lampadine "non possono essere recuperate e devono essere buttate via."

La ZigBee Alliance ha dichiarato che questo difetto è stato risolto e distribuito a tutti i clienti. Non è chiaro come facciano a sapere che tutte le lampadine del mondo sono state aggiornate e non sono più vulnerabili.

Come dice Mikko Hypponen di F-Secure, ogni volta che sentite "smart", sostituite mentalmente questa parola di marketing con "vulnerabile". Eviterete di restare letteralmente al buio.

Fonti aggiuntive: Computerworld, PCMag.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.

Paolo Attivissimo

Commenti all'articolo (4)

Gladiator

Beh, sopo tutti questi anni, direi che la sostituzione più azzeccata per la parola "smart" sia: :inc:
4-6-2023 10:54

gomez

*ogni volta che sentite "smart", sostituite mentalmente questa parola di marketing con "per idioti". Fixed :twisted: Leggi tutto
4-6-2023 03:41

Gladiator

:clap: :clap: :clap: Leggi tutto
1-12-2016 19:20

{WIn95}

Quando la pianteremo con questi servizi "cloud" e torneremo ai solidi software residenti? Quando la capiremo che qualsiasi cosa "updatabile" via Web ha più rischi che benefici, ha più falle che sicurezze?
25-11-2016 17:02

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(8 commenti) I Baschi Grigi della Cybersicurezza	News(4 commenti) ChatGPT introduce le chat di gruppo, fino a 20 persone. Il chatbot fa da consulente

News(1 commento)

Microsoft rende open source la trilogia di Zork: il codice delle avventure testuali ora è pubblico

News(11 commenti)

Le Ferrovie adottano la IA di Microsoft. 50.000 licenze Copilot per aumentare la produttività

News(7 commenti)

Meno popup fastidiosi: UE verso la semplificazione dei cookie

Maipiusenza(9 commenti)

Google presenta il telecomando che non si scarica mai. La luce artificiale lo mantiene sempre carico

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: