Así pueden hackear tu PC con una bombilla inteligente Philips Hue
Vivimos en la era de lo «inteligente», no cabe duda. Aunque creo que a veces lo más sabio es evitar todo lo que tenga la palabra inteligente delante. El IoT o Internet de las cosas, como en el caso que nos ocupa, introduce un nuevo paradigma de vulnerabilidad en las redes domésticas.
Los investigadores de Check Point han hecho de las suyas con varias bombillas Philips Hue, llamadas smart bulbs en inglés. Han sido capaces de secuestrar una de ellas e instalarle malware en su firmware.
Secuestro de una bombilla inteligente Philips
A partir de aquí, han podido secuestrar el «controlador» instalado para atacar la red doméstica mediante un creativo método:
- El atacante comienza por interferir el color o brillo de la bombilla inteligente para hacer pensar al usuario que el controlador está fallando. El aparato aparece como «inalcanzable» en la aplicación, así que el usuario opta por eliminarlo y volver a emparejarlo.
- La única forma de restablecer la bombilla es eliminarla de la aplicación, solicitando a la misma luego que vuelva a ejecutar el «descubrimiento» del aparato.
- El controlador descubre entonces la bombilla modificada, que no da igno alguno de serlo. El usuario la empareja.
La bombilla controlada por el atacante está conectada, por supuesto, a la red del anfitrión. Así es como el usuario la controla habitualmente desde el smartphone.
Ahora el atacante es capaz de infiltrarse en la red mediante el puente o «controlador» de la bombilla, consiguiendo espiar información o distribuir malware.
Se ve más claro y rápido en el siguiente video demostrativo de Check Point.
Se informó a Philips de este peligro en Noviembre de 2019 y ya hay disponible una versión actualizada del firmware que corrige la vulnerabilidad. Es la versión 1935144040 que puedes descargar aquí.
Recomendaciones
Para asegurarte de que tu controlador Philips Hue está parcheado y al día, solo tienes que acceder al menú Ajustes > Actualización de software > Actualizaciones automáticas.
Obviamente, un productor como Philips es merecedor de llevarse más atención que otros desarrolladores de ingenios similares. No debes olvidar que existen decenas de fabricantes de este tipo de aparatos ahí fuera y el hecho de que no hayan recibido un estudio no quiere decir que no sean igual de vulnerables o más.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.