IKEA智慧燈泡、閘道器有漏洞!可被駭入亂改
IKEA從2017年起推出IKEA TRÅDFRI智慧燈泡系列產品,發展至今已有支援Apple HomeKit、Goolge Home以及Amazon Alexa。就跟其它IKEA產品一樣,IKEA TRÅDFRI以高CP值著稱,受到消費者歡迎,但安全廠商發現這系列有特定的智慧燈泡及閘道器存在安全漏洞,可讓有心人士從遠端發送訊息,造成燈泡閃爍等異常狀況。
安全廠商Synopsys旗下網路安全研究中心發現IKEA TRÅDFRI智慧照明系統的漏洞,編號CVE-2022-39064。攻擊者可以傳送一個變造過IEEE 802.15.4 (Zigbee)的訊框,造成TRÅDFRI閃爍。
若他們重播或重覆傳送同一訊框多次,就能造成這個燈泡執行出廠重設,而這會使燈泡喪失Zigbee網路的配置資訊,及現有亮度設定。在此之後,所有燈泡都會以全亮度發光,而且使用者完全無法控制燈光,不論是IKEA Home Smart App或TRÅDFRI的遙控器都不行。
此外,研究人員指出,CVE-2022-39064也和另一項漏洞CVE-2022-39065有關,後者是位於TRÅDFRI智慧照明閘道器。和前一項漏洞類似,攻擊者可以傳送IEEE 802.15.4(Zigbee)訊框,造成TRÅDFRI閘道失去回應能力,無法以IKEA App或TRÅDFRI遙控器操作。雖然把燈泡手動解除再加回網路,或是關閉閘道電源再重啟可以解除攻擊,但是攻擊者也可以隨時重製攻擊。
Synopsys研究主管Jonathan Knudsen強調,駭客只要有筆電和無線電裝置就能發動攻擊,不過IKEA對媒體指出,這兩個漏洞並不會導致Trådfri閘道器或其他IKEA智慧裝置的敏感資訊外洩,或是為客戶帶來安全風險。(記者/竹二)
瀏覽 1,010 次