ככל שמוצרי בית חכם הופכים יותר ויותר פופולריים בשימוש - כך הם חושפים אותנו לסכנות אבטחה ממשיות: מוצרי IoT, או "האינטרנט של הדברים", הם כאלה שמתחברים לרשת הביתית שלנו, מתקשרים זה עם זה ומספקים לנו חוויית שימוש חכמה - בלחיצת כפתור ובאמצעות אפליקציה. יש רמקולים חכמים, שואבי אבק רובוטיים, מנעולים, מצלמות, מתגים למיזוג אוויר, יש אפילו קומקום חכם. בין המוצרים הנפוצים יותר, יש גם נורות חכמות - שמאפשרות שליטה מרחוק בגוון ובעוצמת האור למשל. וגם במוצר ה"פשוט" לכאורה הזה, נמצאה חולשת אבטחה משמעותית שעשויה לסכן את בטחון הרשת הביתית כולה.
חוקרים של חברת אבטחת המידע הישראלית צ'ק פוינט, בסיוע מכון צ'ק פוינט לאבטחת מידע באוניברסיטת תל אביב, פרסמו היום (ד') מחקר חדש ובו נחשפת חולשת אבטחה שכזו במותג פופולרי במיוחד של נורות חכמות - מבית חברת "פיליפס". החוקרים הדגימו כיצד אפשר להשתלט על הנורה, ובסופו של דבר להוביל לכך שתוקפים יוכלו להחדיר נוזקות אל רשת המחשבים שאליה מחובר בקר השליטה בנורה. עם היוודע דבר החולשה, חברת פיליפס שחררה עדכון תוכנה אוטומטי. אם יש ברשותכם נורה חכמה מגדם Philips Hue - ודאו כי התוכנה מעודכנת באמצעות אפליקציית הניהול.
"הסכנות הטמונות במוצרי IoT מדוברות מזה מספר שנים, והמחקר שלנו מוכיח עד כמה הסיכון ממשי גם כשמדובר במוצרים 'פשוטים' דוגמת נורות", אומר יניב בלמס, מנהל מחלקת מחקר הסייבר של צ'ק פוינט. "המוצרים האלה מחוברים לרשת מרכזית שנמצאת בסיכון בהיעדר אבטחה מתאימה. ארגונים וצרכנים שמשתמשים במוצרים שכאלה נדרשים לוודא שהמוצרים מעודכנים בעדכון האבטחה המתקדם ביותר שיוצא, וכן לבדוק לאלו רשתות בדיוק המוצרים הללו מחוברים. במציאות הנוכחית, כל מוצר שמתחבר לרשת יכול לשמש משטח תקיפה על הרשת".
תהליך התקיפה של הנורה החכמה בוצע באופן הבא: השתלטות ראשונית על הנורה, ובה התוקפים מחליפים את צבע ועוצמת התאורה מספר פעמים, כך שהמשתמש חושב שיש איזושהי תקלה בנורה. הנורה תופיע כלא זמינה באפליקציה, ומכאן המשתמש ינסה להגדיר אותה מחדש וינסה לאתר את הנורה ולהתקין אותה. באמצעות ניצול חולשת מימוש בפרוטוקול השליטה בנורות שבבקר, הושגה שליטה בבקר עצמו - ומכאן גם התקבלה גישה לרשת המחוברת אליו. כך תוקפים יכלו לפעול כדי להחדיר אל הרשת הביתית או הארגונית נוזקות - והכל באמצעות הנורה החכמה.