Context Information Security обнаружила уязвимость в лампочках компании LIFX

Исследователи из компании Context Information Security разработали метод совершения атаки на «умные» светодиодные лампочки компании LIFX, управляемые по Wi-Fi. В результате атаки можно заполучить учетные данные для авторизации в Wi-Fi сети, к которой подключены лампочки.

Уязвимости, обнаруженные в умных лампочках LIFX, подконтрольные устройствам на базе iOS или Android открывают злоумышленнику доступ к "ведущей" лампочке. С ее помощью мошенники могут контролировать все подключенные к сети лампочки. Получив команду, "ведущая" лампочка передает ее на все другие лампочки с помощью беспроводной сети по протоколу 6LoWPAN (IPv6 over Low power Wireless Personal Area Networks). Для того чтобы поддерживать работоспособность сети, каждая из лампочек выполняет роль ведущей. Так, каждый узел в сети получает учетные данные для подключения к хотспоту.

Учетные записи для авторизации в беспроводной сети содержатся в специальных пакетах, которые передаются от одной лампочки к другой по стандарту 6LoWPAN. Несмотря на то, что данные от Wi-Fi сети были зашифрованы при помощи алгоритма шифрования Advanced Encryption Standard (AES), исследователям удалось заполучить секретный ключ, получаемый лампочками, и расшифровать его.

В компании отметили, что поскольку атака срабатывает лишь через беспроводную сеть, для ее выполнения злоумышленник должен находиться на расстоянии не больше 30-ти метров от лампочки.

Обнаружив уязвимость, компания по безопасности немедленно сообщила о ней разработчикам лампочек. Те, в свою очередь, выпустили новую версию прошивки, которую следует скачать всем клиентам LIFX с целью обезопасить себя от проникновения мошенников в локальную сеть.