| 26 июля 2016 г. — 7:40 утра по тихоокеанскому времени
Подключенные лампочки Osram бренда Lightify, управляемые с iPhone, как сообщается, подвержены уязвимостям в системе безопасности, которые могут предоставить нежелательный доступ к вашей домашней сети, согласно отчету исследователей безопасности Rapid7 (через ZDnet).
Фирма по безопасности заявила в консультативном уведомлении, что одна из худших уязвимостей может позволить злоумышленнику «взять под контроль продукт» для запуска атак на браузер, позволяя внедрять постоянный JavaScript и веб-код HTML в веб-интерфейс управления… Другая серьезная слабость в смарт-устройстве для дома позволяет злоумышленнику идентифицировать пароль беспроводной сети. Устройства используют короткие восьмисимвольные коды, которые легко взломать в течение нескольких минут или часов.
Osram продает свою собственную систему как стартовый комплект с лампочками A19 и Wi-Fi-хабом для управления с помощью сопутствующих приложений для смартфонов, но ее лампочки также совместимы с другими системами подключенного освещения, включая Philips Hue и совместимые продукты, использующие протокол ZigBee.
В отчете Rapid7 утверждается, что Osram планирует исправить большинство уязвимостей в системе безопасности в предстоящем обновлении.
Обновление от 27 июля: Osram прислала следующее заявление по этому вопросу:
OSRAM согласилась на тестирование безопасности существующих продуктов LIGHTIFY исследователями безопасности из Rapid7. С момента уведомления об уязвимостях, выявленных Rapid7, OSRAM предприняла шаги для анализа, проверки и реализации стратегии устранения рисков, и большинство уязвимостей будут исправлены в следующем обновлении, выпуск которого планируется на август.
Исследователи безопасности Rapid7 также выделили определенные уязвимости в протоколе ZigBee®, которые, к сожалению, находятся вне сферы влияния OSRAM. OSRAM находится в процессе постоянной координации с ZigBee® Alliance в отношении известных и недавно обнаруженных уязвимостей.