skip to main | skip to sidebar
21 commenti

Come spegnere le luci “intelligenti” usando un drone

Se avete acquistato le lampadine “smart” Hue della Philips, quelle che si possono comandare tramite computer e telefonino, ho una brutta notizia per voi: sono attaccabili a distanza e possono essere usate per disseminare un attacco che si diffonde con una reazione a catena.

Dei ricercatori del Weizmann Institute of Science in Israele e della Dalhousie University in Canada hanno dimostrato, con un articolo tecnico e un test pratico, che il protocollo di comunicazione ZigBee usato da queste lampadine è sfruttabile da un aggressore per inviare alle lampadine un aggiornamento firmware falso e alterato, che poi si diffonde spontaneamente alle lampadine adiacenti, permettendo di controllarle a distanza, per esempio per spegnerle di colpo, lasciando al buio un edificio o un quartiere.

L’attacco è effettuabile senza entrare nell’edificio preso di mira: in una dimostrazione, i ricercatori hanno attivato il reset delle Philips Hue da oltre 150 metri usando apparecchiature comunemente disponibili e sfruttando un drone. In un test il drone ha preso il controllo delle lampadine da 350 metri di distanza, inducendo a lampeggiare secondo il codice Morse con il messaggio “SOS”.


Secondo i ricercatori, un drone che sorvolasse una città muovendosi a zigzag “potrebbe disabilitare tutte le lampadine smart Philips Hue nei centri cittadini nel giro di pochi minuti”.

L’attacco è possibile perché tutte le lampadine Hue usano per gli aggiornamenti firmware la stessa chiave crittografica di sicurezza, che i ricercatori sono stati in grado di scoprire “nel giro di pochi giorni usando [...] solo apparecchiature economiche e facilmente reperibili che costano qualche centinaio di dollari”.

Questo consente a un aggressore di creare “un attacco veramente devastante a basso costo [...] una singola lampadina infettata con firmware modificato [...] può innescare una reazione a catena esplosiva nella quale ciascuna lampadina infetta e sostituisce il firmware di tutte quelle vicine nel raggio di alcune centinaia di metri”. I ricercatori sottolineano che un aggressore potrebbe disabilitare gli ulteriori aggiornamenti, per cui le lampadine “non possono essere recuperate e devono essere buttate via.”

La ZigBee Alliance ha dichiarato che questo difetto è stato risolto e distribuito a tutti i clienti. Non è chiaro come facciano a sapere che tutte le lampadine del mondo sono state aggiornate e non sono più vulnerabili.

Come dice Mikko Hypponen di F-Secure, ogni volta che sentite “smart”, sostituite mentalmente questa parola di marketing con “vulnerabile”. Eviterete di restare letteralmente al buio.


Fonti aggiuntive: Computerworld, PCMag.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (21)
Paolo ma a questo proposito volevo farti una domanda. Vorrei inserire un arduino Nano vicino ai miei interruttori della corrente, che comandi un relè in modo che io possa poi accendere e spegnere le luci di casa con lo smartphone (sulla falsariga di questo progetto, che però lavora in modalità meccanica http://www.instructables.com/id/Switchifi-a-Wifi-Enabled-Light-Switch-for-20/ ).

Ma secondo te, che rischi corro? In teoria se non mi entrano nel wifi non dovrebbero riuscire a controllare il nano e comunque, male che vada, mi accendono e spengono le lampadine fino al nuovo cambio pw del wifi.

O rischio altro?

Grazie
Il solo fatto che delle lampadine abbiano un firmware aggiornabile in remoto mi turba!
stupid is better...
Il problema vero è che in questo caso anche se sei Snowden e hai una rete casalinga ultrasicura, le lampadine comunicano su un canale al di fuori del tuo controllo e puoi fare poco...

Più che altro mi stupisce il "centinaia di metri" per il protocollo ZigBee, ero convinto fosse a basso consumo e quindi a bassa potenza e non avesse un raggio così ampio
"In un test il drone ha preso il controllo delle lampadine da 350 metri di distanza"
A me pare che a 350mt fosse chi il drone lo pilotava...
Le mie lampadine smart sono dumb, vanno solo in BT, che a 3mt di distanza è inesistente!
Più che lampade smart (ci sono già, si chiamano LED) vorrei interruttori smart.
Non certo connessi, ma a sfioramento, che accendano la luce passandoci sopra con la mano (si, lo so, col sensore di prossimità, ma non li ho trovati), anzichè costringermi ad andare a tentoni per toccarli.
Oltretutto sarebbero più igienici.
Beh se il trasferimento del firmware da una lampadina all'altra è "virale" ci vuole poco ad aggiornare, esattamente il tempo necessario ad infettarle. Quelle "vaccinate" bloccheranno il contagio.
Se c'è qualche lettore che usa lampadine smart, potrebbe per favore spiegarmene l'utilità?

Non è una provocazione, è una domanda seria. Finora l'unico motivo che mi è venuto in mente è "non devo alzarmi fino all'interruttore/dimmer che sta a due metri da me", che non è un granché...
@Tommy: il senso è quello - certo se hai una casa di 50mq ovvio non è sto granchè, ma se hai un salotto di 10mt potrebbe essere comodo.

Altri usi possono essere quello di comandare con un solo tasto multiple accensioni/spegnimenti oppure quello di programmarle per far si che si accendano random quando non sei in casa per scoraggiare ladri.

In caso aziendal/industriale ha molto senso invece comandare gruppi di luci in maniera smart (per esempio in base alla presenza fisica nei locali, generando quindi risparmio energetico)
@Lupo della luna:
Quelle "vaccinate" bloccheranno il contagio
Sì, ma quelle ormai infette se vengono "brickate" le prendi e le butti. Considerato che le Philips Hue su Amazon vengono 200 euro il set da tre...
Più che lampade smart (ci sono già, si chiamano LED) vorrei interruttori smart.
Non certo connessi, ma a sfioramento, che accendano la luce passandoci sopra con la mano (si, lo so, col sensore di prossimità, ma non li ho trovati), anzichè costringermi ad andare a tentoni per toccarli.


Fai prima impiantarti un chip sottopelle che quando sei vicino le accendono, come ha fatto (dicono) Bill Gates.


Se c'è qualche lettore che usa lampadine smart, potrebbe per favore spiegarmene l'utilità?

Io non le uso, ma mi viene in mente che potrebbero simulare la presenza in casa, accendendosi e spegnendosi con ritmi diversi di giorno in giorno, meglio che con un semplice timer.
Il gioco non vale la candela* lo stesso, ma, volendo a tutti i costi trovare l'utilità, potrebbe essere questa.

*intesa come unità di misura della luminosità :-D
Altra utilità in effetti potrebbe esserci per i disabili.
@Rico
Proprio ieri ho visto in un grosso negozio di ferramenta delle lampadine a LED con inserito un sensore di movimento. C'era anche la versione col sensore a parte. Non so una volta accese quanto rimangono accese se non ti muovi in stanza, e non ho approfondito altre caratteristiche, però magari ti sono utili.
@Kaizenware:
se hai un salotto di 10mt potrebbe essere comodoBasta posizionare in modo sensato gli interruttori.

Nella mia vecchia casa avevo un salotto molto grande e l'interruttore era lontano dal divano, spegnere/accendere la luce quando ormai eri svaccato era scomodo. Soluzione? Una peretta nascosta tra i cuscini.

Sistema simile in camera: farsi al buio il tragitto porta-letto era scomodo, quindi il lampadario aveva un secondo interruttore sulla boiserie dietro al letto (affiancato da un altro che comandava una lampada orientabile che usavo per leggere).

Le luci del corridoio si potevano accendere da vari punti dello stesso (ingresso di casa, inizio, metà, fine) nonché dall'interno di tutte le stanze con esso comunicanti, e così via.

@martinobri:
Altra utilità in effetti potrebbe esserci per i disabili.
Ecco, QUESTA è una motivazione che mi piace molto.
@Tommy

hai perfettamente ragione, non stiamo parlando di cose proprio utilissime, solo delle comodità in più. A casa mia nuova, completamente ristrutturata, ho progettato io l'impianto e ho messo interruttori dappertutto e non c'è un singolo punto "scomodo". Infatti quello che vorrei fare sarebbe un piccolo sfizio, tra l'altro a basso costo...
anche io ritengo poco utile accendere le luci con questi sistemi se non in casi speciali, quello esposto da martino è esemplare.
Però fra gli arduinisti è il caso più diffuso insieme al controllo delle caldaie e delle tapparelle.

I miei dubbi riguardano anche il risparmio energetico. Ad esempio mi chiedo se il sistema per comandare a distanza tutte queste lampade quanto consuma di per se, specialmente per le lampade che vengono accese raramente.

Anche io smanetto un po' eppure questi automatismi non li ho mai realizzati se non come demo perché non ne sento ancora il bisogno.
Preferisco la soluzione Kaizenware, anche io ho l'interruttore vicino al letto e nei posti più comodi, avendolo potuto fare.

Soffro dello stesso problema di rico, essendo abituato ai vecchi interruttori che sporgevano, al buio trovo ogni tanto difficile individuare l'interruttore.
Interruttori a sfioramento ne ho visti tanti ma non con sensori di prossimità. Forse perché consumano di più o soffrono di false accensioni o spegnimento.
Le lampadine smart hanno senso *quasi* solo perché sono delle "figate" per gli appassionati di tecnologia, per divertirsi un po' e magari mostrarle agli amici. In genere accedere ad una app su un dispositivo mobile è più macchinoso che cercare il più vicino interruttore.
Una certa utilità invece esiste per realizzare coreografie domestiche, cioè avere una illuminazione "di atmosfera" richiamabile a piacere, dove con un solo comando una serie di lampadine nella tua stanza si accendono di un colore e intensità predefinite. Se fatto bene, l'effetto è indubbiamente suggestivo.

Invece, per tutte le applicazioni professionali come sale riunioni, ambienti lavorativi, alberghi, edifici di pregio con illuminazione architetturale, eccetera, le soluzioni che si utilizzano sono diverse, esistono da pareccchio tempo e il comando a distanza delle lampade avviene mediante segnali trasmessi attraverso fili e non onde radio. Per dare una idea, nell'illuminazione professionale civile il sistema che va per la maggiore è il DALI, mentre per situazioni più coreografiche (architettura o spettacolo) si una il DMX512. Poi oltre a questi due big ci sono un numero vario e crescente di altri protocolli, soprattutto per la domotica, e sono in genere cose per installatori specializzati e non per il grande pubblico, come è invece il caso delle varie lampadine Smart.
Uso pratico in ambito domestico: tra sala e corridoio abbiamo un punto luce aggiuntivo, oltre a quello di sala e quello nel corridoio, che nei progetti doveva fare "ambiente", ma dopo che la lampada led multicolor col telecomando classico se n'è andata abbiamo piazzato una lampadina comandabile via BT, con relativa app: possiamo spegnere e accendere dall'interruttore come sempre, ma questa tiene botta (per ora almeno), è costata poco più dell'altra (non è la marca famosa) e banalmente si può programmare gli orari di accensione e di spegnimento (ogni volta, amen) da (quasi) tutti i cellulari che abbiamo (il windowsphone no, ma si sapeva), oltre a colore e intensità, molto meglio dell'altra.
Non ci passa proprio per la testa di metterle ovunque, ma una o forse due perché no?

Ah, controindicazione pesante: almeno con la prima versione dell'app, di entrambi i "mondi" supportati, bastava essere in prossimità e smanettavi senza neanche chiedere, ora pare che non sia più così semplice, è necessaria la registrazione, in effetti nel caso di un condominio probabilmente gli effetti collaterali non erano di poco conto...
Utilizzo lampade smart in tutta la casa è l'utilità è oggettiva. Possono ovviamente funzionare come semplici lampadine ma sono le funzioni aggiuntive che le rendono comode e utili. Solo qualche esempio dei miei utilizzi: tramite una scena "cinema" le tapparelle vengono abbassate, la TV viene impostata su HDMI 1, l'amplificatore su HDMI 1 e con impostazione cinema (surround e 5.1 attivi. Per la musica, invece, solo 2.1) e le luci vengono spente tutte e 5 tranne una che diventa di un tenue blu scuro. Altro esempio: scena "andiamo a letto" spegne TV, amplificatore e accende in maniera tenue le luci sia del soggiorno che della camera da letto. Quelle del soggiorno le spegne dopo pochi minuti mentre nella camera da letto prima spegne quelle bianche poi accende in blu scuro una piantana e, dopo 10 minuti, spegne anche quella. Ultimo esempio (ma ne ho decine): esco da casa. Il sistema ha un presence detection e si accorge se non sono in casa. Spegne tutte le luci, tutte le TV, i condizionatori d'aria d'estate e le pompe di calore di inverno e, infine, chiude la porta di casa con due mandate.
Kaizenware,
parli di Arduino nano ma non dici come lo colleghi in rete.
In ogni caso, o quasi, non è possibile riprogrammare l'Arduino da rete a meno che non sia espressamente previsto.
Se è accessibile dall'esterno devi mettere un sistema di autenticazione.
Ho degli esempi, se vuoi.
Questo commento è stato eliminato dall'autore.