El protocolo utilizado en las bombillas Philips Hue es vulnerable

Philips Hue

El protocolo de comunicación inalámbrica ZigBee, que es utilizado por varios dispositivos conectados incluyendo las bombillas Philips Hue tiene una vulnerabilidad de autenticación que fue recientemente descubierta y explicada en la conferencia Black Hat.

Al parecer no es una debilidad de ZigBee sino en la forma de cómo es implementado el protocolo comúnmente ya que los fabricantes utilizan los valores default para intercambiar llaves de seguridad con otros dispositivos en la red ZigBee.

La seguridad es uno de los grandes problemas del Internet de las Cosas, y para que todo esto vaya evolucionando, los fabricantes de chips y dispositivos tendrán que estandarizar fuertes medidas de seguridad para que los dispositivos conectados no nos metan en problemas.

Según Cognosec, si un hacker logra conectar un dispositivo, la clave secreta es más vulnerable y si se consigue los hackers pueden penetrar toda la red Wi-Fi del hogar. La vulnerabilidad aumenta si los perfiles en las aplicaciones que permiten la comunicación entre los dispositivos — celular, tableta y reloj inteligente, por ejemplo — y los productos son automatizados.

“El riesgo es menor si sólo entraran en las bombillas, pero como el sistema de climatización  y las cerraduras usan un perfil automatizado, el impacto en la seguridad del perfil requerido es aún más grande”, concluye el reporte.

Cognosec recomienda a ZigBee no usar claves de seguridad básicas como ZigBeeAlliance09, que la clave de seguridad principal y secreta debería sólo ingresarse manualmente y no automáticamente; crear hardware que sea menos vulnerable al ataque y que el usuario cambie su clave más a menudo.

Más información