（文章來源：毒科技的時(shí)光機(jī)）
最近，飛利浦Hue出現(xiàn)漏洞，使黑客可以控制單個(gè)燈泡，隨意打開或關(guān)閉它們，以及更改顏色和亮度。可以使用帶無線電發(fā)射器的筆記本電腦遠(yuǎn)程完成此操作。雖然這種風(fēng)險(xiǎn)仍然存在，但該公司已采取措施阻止了升級漏洞，該漏洞以前使攻擊者可以入侵Hue橋，并從那里攻擊網(wǎng)絡(luò)的其余部分，包括與其連接的任何PC。

該漏洞是在Philips Hue燈泡和其他智能家居設(shè)備使用的Zigbee通信協(xié)議中發(fā)現(xiàn)的。亞馬遜Echo Plus，三星SmartThings，貝爾金WeMo，蜂巢主動(dòng)加熱和配件，耶魯智能鎖，霍尼韋爾恒溫器，博世安防系統(tǒng)，宜家Tradfri，三星Comcast Xfinity Box等也使用Zigbee。

Check Point安全研究人員發(fā)現(xiàn)了一種方法，可以通過控制單個(gè)燈泡來擴(kuò)展攻擊，以接管整個(gè)網(wǎng)絡(luò)。升級過程如下：

1、攻擊者使用原始漏洞來控制一個(gè)燈泡。2、用戶看到隨機(jī)行為，也無法自己控制燈泡。3、顯而易見的故障排除步驟是刪除燈泡，然后再次掃描，然后重新添加？4、現(xiàn)在重新添加它可以使燈泡中的惡意軟件訪問Hue橋。5、從那里，它可以傳播，包括傳播到連接的PC。

一旦攻擊者可以訪問連接的PC，他們就可以安裝諸如鍵盤記錄程序和勒索軟件之類的東西。

當(dāng)然，Check Point負(fù)責(zé)任，將其發(fā)現(xiàn)結(jié)果透露給了Philips Hue品牌的所有者Signify。現(xiàn)在有可用的補(bǔ)丁程序。建議用戶檢查Hue應(yīng)用程序以查看是否有可用的更新，如果有，請安裝它們。請注意，無法修補(bǔ)允許控制單個(gè)燈泡的原始漏洞，因?yàn)檫@將涉及燈泡本身的硬件更改。但是安裝此更新將確保它不會(huì)傳播到網(wǎng)絡(luò)上的其他設(shè)備。

Check Point表示，對于使用Hue燈泡的企業(yè)來說，保護(hù)自己尤為重要。

“我們很多人都知道物聯(lián)網(wǎng)設(shè)備可能會(huì)帶來安全風(fēng)險(xiǎn)，但是這項(xiàng)研究表明，即使是最平凡，看似'笨拙'的設(shè)備（例如燈泡）也可以被黑客利用并用于接管網(wǎng)絡(luò)或植入惡意軟件，” Check Point Research網(wǎng)絡(luò)研究主管Yaniv Balmas說。

“至關(guān)重要的是，組織和個(gè)人必須使用最新的補(bǔ)丁程序更新設(shè)備并將其與網(wǎng)絡(luò)上的其他計(jì)算機(jī)分開，以保護(hù)自己免受這些可能的攻擊，以限制可能的惡意軟件傳播。在當(dāng)今復(fù)雜的網(wǎng)絡(luò)攻擊環(huán)境中，我們不能忽視與網(wǎng)絡(luò)連接的任何事物的安全性。”Philips Hue感謝Check Point的負(fù)責(zé)任的披露。
（責(zé)任編輯：fqj）