更多

    飛利浦 Hue 燈泡漏洞未解決 專家警告或成計時炸彈

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Google 承認已停止發售 Pixel 3a

    Google 正式承認當售清存貨之後,就會停售 Pixel 3a 。現時美國 Google Store 已經顯示沒有存貨,但台灣方面就無論 Pixel 3a 還是屏幕較大的 Pixel 3a XL 也仍然有售。

    Thunderbolt 4 下周發表 支援線材已在 Apple Store 有售!?

    Thunderbolt 3 介面推出近 10 年,隨著 Intel 去年開放 Thunderbolt 協定專利、 USB Promoter Group 宣布推出 USB4 規格, Intel 也準備在下星期四 7 月 9 日召開媒體說明會,公布有關 Thunderbolt 4 的最新技術和市場布局。不過據聞 USB Promoter Group 成員之一的 Apple 可能已經悄悄地在 Apple Store 上推出對應 Thunderbolt 4 的線材。

    Apple Arcade 改變策略挽留玩家 Apple 終止部分遊戲開發合約

    Apple 去年推出一系列訂閱服務,希望將公司盈利重心由售賣硬件轉為提供內容服務。可惜似乎在各方面都踫壁,需要改變營運策略。而最近傳出「被開刀」的,就是遊戲訂閱服務 Apple Arcade 。據知情人士透露, Apple 在 4 月中的電話會議上向部分遊戲開發商提出終止現有遊戲的開發合約,轉而尋求更能吸引訂戶持續玩下去的遊戲作品。

    四年前,飛利浦的 Hue 燈泡被發現有漏洞,可以讓駭客在遠處透過無線電來控制燈泡。雖然當時飛利浦已經透過更新靭體修正有關漏洞,不過原來那次修補並不完整,駭客有機會騎劫連接飛利浦橋接器的電腦。雖然廠方經已推出更新修補這漏洞,不過保安專家指由於更新無法修復已被入侵的燈泡,所以那些燈泡仍有可能成為駭進家居或公司網絡的計時炸彈。
    [ot-video][/ot-video]
    網絡保安公司 Check Point 指今次被發現的入侵手法,是駭客先騎劫一個燈泡,令到受害者無法控制燈泡,這誘使受害者刪除那個燈泡,嘗試重新安裝以修復問題,但該燈泡已經被駭客植入惡意程式,受害者不虞有詐,安裝了這個假燈泡之後,就會在燈泡安裝感染了的靭體。之後燈泡就會透過 Zigbee 通信協定駭入管理燈泡的橋接器,從而騎劫區域網絡中的電腦。

    假燈泡入侵過程

    1. 駭客先控制了燈泡
    1. 駭客先控制了燈泡

    2. 受害者刪除燈泡重裝,希望解決問題。
    2. 受害者刪除燈泡重裝,希望解決問題。

    3. 受害者安裝被駭客騎劫的惡意燈泡
    3. 受害者安裝被駭客騎劫的惡意燈泡

    4. 受害者電腦與燈泡連接同一個 Smart Hub
    4. 受害者電腦與燈泡連接同一個橋接器

    5. 駭客透過被駭的燈泡騎劫 Smart Hub ,從而騎劫受害者的電腦。
    5. 駭客透過被駭的燈泡騎劫橋接器 ,從而騎劫受害者的電腦。

    幸而,飛利浦已於 1 月推出了修補這漏洞的靭體,版本為 1935144040 。如果用戶的 Hue Hub 有連上互聯網的話, Hue Hub 應該已經自動更新,不過已被駭入的燈泡的靭體就無法更新。
    Philips Hue 公司技術總監 George Yianni 指:「我們承諾將盡一切可能確保我們的產品安全,同時保護用戶的隱私。我們衷心感謝 Check Point 的發現以及後續安全方面的合作,這使我們能夠及時推出必要的修補程序從而避免了我們用戶可能面對的風險。」。
    四年前駭客以跳板方式遙距騎劫飛利浦 Hue 燈泡,使無人辦公室燈泡閃動出摩斯密碼。
    四年前駭客以跳板方式遙距騎劫飛利浦 Hue 燈泡,使無人辦公室燈泡閃動出摩斯密碼。

    四年前的漏洞,駭客是透過跳板方式,讓一隻被裝上修改過的靭體的 Hue 燈泡一隻接一隻的傳染到整個燈泡網絡裡,後來飛利浦就封鎖了燈泡與燈泡之間傳輸。不過 Check Point 指出由於設計上的限制,燈泡漏洞仍然存在,所以才引發今次新發現的入侵手法。即使今次漏洞被複修,也可能會有未被發現的入侵手法,成為家居和辦公室的計時炸彈。
    另外, Check Point 也提出這個問題是源自 Zigbee 通信協定的問題,不少著名廠商也在使用,所以可能 Amazon Ring 、 Samsung SmartThings 、 Ikea Tradfri 、 Belkin WeMo 等都會有相似的問題。

    相關文章