Philips Hue: Smarte Lampen durch Sicherheitslücke angreifbar

[pheargood]

(09-02-2020 11:37)grelm schrieb:  Bleiben für mich trotz "Eine Diskusion ohne Grund " die Fragen:
a) Wenn es ein Protokollfehler ist, müssen dann nicht beide Seiten (HUE-Bridge UND HUE-Lampe) gepatcht werden, um den Fehler zu beseitigen?
b) Wenn die HUE-Bridge gepatcht werden muss, muss dann nicht auch die XT2+ gepatcht werden bzw. ist sichergestellt, dass bei Lupus der Protokollfehler nicht existiert?
c) Wie lautet die aktuelle Firmware-Version der Hue-Farblampen?

Meine Bemerkung bezog ich auf die vorhergehende Diskussion wie man eine HUE mit der Lupus aktualisieren soll, wenn keine Firmware-Datei für die HUE Bulbs greifbar ist.

Heise Security schreibt mittlerweile dazu auch etwas, u.A. das die Sicherheitsforscher sich nicht dazu äußern wie sie die Leuchtmittel übernehmen.

Phillips bietet aktuell das Update mit der Firmware 1935144040, die erforderliche App und weitere Informationen findet man hier.

Der Anleitung zu entnehmen das die App erstmal die Bridge verbindet und aktualisiert und dann prüft ob weitere Komponenten aktualisiert werden müssen. Das Update der Leuchtmittel erfolgt automatisch, du brauchst einen meethue.com Account.

Zitat:Bridge firmware updates that done through the Philips hue application when you connect to your hue bridge, it ill give you a pop up if there is an update available and install.

Your Philips hue bulbs and lights will update automatically through the hue application. To ensure that they receive an update, please make sure your hue lights are powered on by the light switch (the light can be switch off in the hue app) and is left in the on position for more than 24 hours. To also help assist with updates, make sure your bridge is linked to your meethue.com account.

Zu a) stellt sich doch eher die Frage, wenn das Leuchtmittel gepatcht ist, braucht dann die Bridge noch ein Patch?

Zu b) fragst du besser Lupus, die Informationen zu CWE-122 sind bereits oben verlinkt.

c) Die aktuellen Versionen verschiedener HUE Komponenten kann man z.Z. nur aus einem verlinkten Bild erraten



Eine Stellungnahme oder mehr Informationen von Phillips finde ich derzeit nicht, vermutlich würden auch Firmwareversionen Teile der Käuferschaft nur verwirren.