Dat schrijven de onderzoekers van het Weizmann Institute for Science in Tel Aviv in het donderdag gepubliceerde rapport getiteld Internet of Things Goes Nuclear.
Het lukte de onderzoekers door een lek in de communicatie van het ingebouwde draadloze ZigBee-protocol in te breken. Ze wisten een zogeheten worm – een virus dat zichzelf verspreidt – gecontroleerd te plaatsen in Philips Hue-lampen.
Het virus sprong vervolgens via de ingebouwde ZigBee-connectie, die wordt gebruikt voor de communicatie tussen slimme apparaten, over van de lamp naar naburige slimme lampen.
In een video is te zien hoe steeds meer lampen door de cyberaanval gaan knipperen.
Slimme steden
De onderzoekers noemen het een theoretisch doemscenario voor smart cities, steden waarbij veel gebruik wordt gemaakt van ‘slimme’ apparaten. Volgens de onderzoekers kan een worm zich “explosief” verspreiden als in een ”soort nucleaire kettingreactie”.
Opmerkelijk was dat de onderzoekers niet fysiek in de buurt van de lichten hoefden te zijn. De lampen werden op afstand draadloos geïnfecteerd middels een drone of auto. Het virus sprong over ongeacht of de lampen met hetzelfde wifinetwerk verbonden waren.
Kwetsbaar
Met het Philips Hue-systeem kan je op afstand de intensiteit en kleur van het licht aansturen via een app. De kwetsbaarheid is inmiddels verholpen met een update. Het verlichtingsbedrijf laat in een reactie aan persbureau ANP weten dat er nooit sprake is geweest van een virus.
“Philips Lighting werd afgelopen zomer benaderd door wetenschappers, die mogelijke kwetsbaarheden in het systeem hadden ontdekt”, meldt het bedrijf. ”Nog voordat de bevindingen openbaar werden, heeft Philips Lighting met een software-update de vermeende zwakke plekken aangepakt.”
Beveiligingsexperts maken zich vaker zorgen over de veiligheid van zogeheten internet of things-apparaten. Daaronder vallen bijvoorbeeld slimme thermostaten, zelfrijdende auto’s en medische apparatuur. Dit soort apparaten gebruiken internet om data te versturen en ontvangen en zijn daardoor kwetsbaar voor cyberaanvallen.