Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 97 reacties, 47.087 views •
Submitter: BlackOwl

De beveiligingsmechanismes die Philips heeft opgenomen in de software om Hue-lampen aan te sturen, zouden onnodige gebreken vertonen. Zo worden er geen versleutelde verbindingen gebruikt en gebruikersnamen zijn voorspelbaar.

De Hue led-lampen van Philips kunnen via een bridge en een applicatie op een smartphone aangestuurd worden. Daarvoor wordt via wifi het Zigbee Light Link-protocol gebruikt. Om de lampen ook door software van andere ontwikkelaars aan te laten sturen, heeft Philips in maart een api openbaar gemaakt.

Volgens beveiligingsonderzoekers is de Hue-api onvoldoende beveiligd. Zo gebruikt de api onversleutelde http-verbindingen in plaats van veiliger https-connecties. Hierdoor zijn opdrachten die naar de Hue-lampen worden gestuurd eenvoudig te onderscheppen en te bekijken.

Een ander zwak punt is de authenticatie. Er is in de http-request slechts een door de op de bridge goedgekeurde gebruikersnaam nodig om een commando succesvol uit te voeren. De gebruikersnaam in de officiële app van Philips wordt echter gegenereerd op basis van de md5-hash van het mac-adres van de iPhone. Hierdoor is ook de gebruikersnaam relatief eenvoudig te herleiden.

Beveiligingsonderzoekers bij Sophos noemen de beveiligingsgaten in de Hue-software slordig. Ook stelt het bedrijf dat er wel degelijk https-versleuteling mogelijk is op de weinig krachtige low powered processor die in de Hue-bridge  gebruikt voor communicatie. Zo noemt Sophos axTLS als geschikte lichtgewicht encryptiesoftware.

Philips

Reacties (97)

Reactiefilter:-197090+168+212+30
Moderatie-faq Wijzig weergave
De gebruikersnaam in de officiŽle app van Philips wordt echter gegenereerd op basis van de md5-hash van het mac-adres van de iPhone. Hierdoor is ook de gebruikersnaam relatief eenvoudig te herleiden.
Het lijkt me niet de bedoeling dat het MAC adres hiervoor misbruikt wordt. Vanaf iOS 7 steekt Apple hier ook een stokje voor, als je dan het MAC adres opvraagt krijg je altijd 02:00:00:00:00:00 terug. Het werd ook al tijden sterk afgeraden, onbegrijpelijk dat een bedrijf als Phillips zoiets knulligs doet.

Philips zal hun hele API dus hoe dan ook overhoop moeten gooien.

[Reactie gewijzigd door Aaargh! op 18 augustus 2013 14:07]

Extern (op het WLAN) is dat MAC-adres te zien, dat kan iOS 7 niet verhinderen, want het is nodig voor het correct functioneren van het netwerk. Als de attacker de netwerksleutel heeft gekraakt dan ziet hij het MAC-adres en kan hij dus de gebruikersnaam van de iPhone nabouwen.

Maar ja, dan is de hele boel al gecompromised, en dan maakt het niet uit of het nu de username op basis van het generieke MAC-adres is of net het specifieke. Inderdaad, heel vreemde ontwerpkeuze.

[Reactie gewijzigd door BŤR op 18 augustus 2013 23:13]

Ik vind die zogenaamde slimme energie meters die ze op afstand kunnen uitlezen veel onveiliger.
Die verstrekken voor de kwaadwillende veel meer informatie dan een lampje van philips.
Die lamp zit waarschijnlijk niet door het hele huis, maar hooguit in een woon en of slaapkamer.
Daar heb je als inbreker niet echt veel aan.
Ik had altijd al het idee dat je dit voor hetzelfde geld of minder zelf kan maken en beter bovendien. Websites als IFTTT hebben ook triggers die via het Jabber-protocol werken (bekend van onder meer Gtalk), dat op zich goed beveiligd is en waarvoor je weer scriptjes kan maken in Linux om bijvoorbeeld om via DMX, de in professionele lichttechniek geldende standaard licht aan te sturen, Een raspberry Pi zitten en zo'n interface de kosten niet in (als je iets meer uitgeeft heeft zoiets een ethernetpoort en kan je je spullen ook nog rechtstreeks via een app aansturen vaak), DMX spullen zijn nog best betaalbaar omdat ze in massa geproduceerd worden (door bedrijven die waarschijnlijk wat realistischer tegen overheadkosten aankijken dan Philips doet - en op deze manier onderpresteer je ook als multinational, wat de kosten anders nog enigszins had kunnen rechtvaardigen hadden ze echt iets beters neer gezet dan wat je toch wel op zijn minst zou kunnen evenaren als je er een paar regenachtige zondagmiddagen in zou steken). Maar het kunstje zit misschien in dingen gepatenteerd krijgen, etc waardoor ook die overhead weer te bekostigen valt - wat indirect algemende levensstandaard inhoudt, maar ik zie ze dat met die lampen op deze manier nog niet doen (als dat op patenten hangt, dan zullen ze in het belang van alle partijen vermoedelijk beter moeten samenwerken.. hoe ze dat met de Gigaset SIP Dect stations gedaan hebben is mischien een goed voorbeeld - dat was ook niet hun technologie en draait deels op open source waar ze dan netjes de broncode van publiceren).
Verder heb ik al een poosje wat elementen van huisautomatisering (lampen metname) en dat moet 100% betrouwbaar zijn (wat het ook is en ik heb er al in geen 5 jaar aan hoeven zitten om iets op te lossen - het laatste wat je wilt met huisautomatisering is je leven compliceren als je een lamp wilt aandoen) en ook is niet wat je witl dat 3den eraan kunnen zitten (het kan gevaarlijk zijn in theorie en als ik afwezig zou zijn, zou ik het best een vervelend idee vinden dat ik niet zou weten wat er met mijn huis gebeurt al is het alleen maar de verlichting die ongedimd brandt , in een rare kleur of knippert). Sowieso heb ik een punt gemaakt bij het kiezen van een protocol destijds om de status van een lamp te kunnen uitlezen op afstand - dat je altijd nog een soort 'feedback' hebt van je eigen handelingen als je er niet bent (of dat bijvoorbeeld schakelingen met het oog op aanwezigheid suggereren ivm met inbraakpreventie gewoon werken).
Ik denk niet dat het je lukt om dit voor onder de 200 euro voor elkaar te krijgen. Alleen al een pi werkend hier te krijgen ben je 60 euro verder. En dan moet je nog draadloze modules en bijpassende lampen etc aanschaffen. (en dat alles x3 wil je iig net zoveel lampen als bij de Hue starterskit hebben) En als het je al lukt zal het nooit zo mooi en netjes zijn. De Hue zijn gewoon lampen die je zo in een bestaande lamp houder draait. Vervolgens hoef je alleen maar nog het basis station ergens in je netwerk te prikken en je zet direct je hele huis om in allerlei kleuren en sferen.

En daarnaast is bij de Hue ook meteen alle software geregeld. Je krijgt er apps voor iOS, Android, Mac en Windows bij.
Jij moet je dan nog weken bezig houden met het ontwikkelen van een werkende app. Je moet er maar zin in hebben..

Ik ben zelf wel gewoon voor de Hue gegaan, heerlijk systeem. Bij zon ondergang gaan me lampen automatisch aan, zelfde wanneer het regent. En met een druk op de knop gooi ik alles uit wanneer ik wil.
Ben nu bezig met me raspberry Pi en de API om mijn eigen customized events te creeren. (Disco op de maat van de muziek, Lampje knipperen bij een nieuw email bericht. genoeg ideeen)

[Reactie gewijzigd door ro8in op 18 augustus 2013 16:28]

Ok, ik zal uit de losse hand proberen even een lijstje componenten te schudden (laten we LED als uitgangspunt nemen - alhoewel ik daar nog niet zo in zit). Ik zal je aan jouw Pi inschatting houden (zelf denk ik meer aan § 45 incl verzenden en 5V USB voeding heb ik altijd nog wel liggen in de vorm van een telefoonlader, dat soort dingen is echt een paar euro).
Raspberry Pi § 60
De eerste DMX LED-par die ik Google § 37 (incl sturing, DMX-interface, etc - turn key 15 Watt 153 <high power LEDS, 51 van elke kleur). http://www.new-line.nl/nl...d-par-56_13990.htm#extern Misschien zijn dit de dingen met meerdere schaduen waar ze het wel eens over hebben en is dit beter geschikt om iets mee te brouwen a la 'ambi light' (deze hebben ook amber als kleur om vollere en warmere tinten mee te maken - dus eigen beter dan 'ambi light' of hue ooit was ADJ QA PAR 38 http://www.new-line.nl/nl...j-mega-qa-par38_44370.htm en ik denk ook iets handzamer - wordt geleverd met een filterhouder om een wat diffuse bundel mee te maken). Maar laten we uitgaan van 3x § 37 voor RGB en dan zijn de verzendkosten inbegrepen (kabels die ik niet te moeilijk over even - voor DMX kan je Cat5e kabel gebruiken volgens een gestandaardiseerde 'pin out').
Zitten we aan § 111 + § 60 of § 45 voor de Raspberry P en hebben we § 54 of § 29 voor een linux compatible DMX-controller over. Hier is er een te koop voor $51 (omwillle van de tijd houd ik het even bij de eerste die ik kan vinden - Entec is een bekende linux-compatible zo te lezen) - laten we zeggen dat je dat naar Euro's mag omrekenen voordat je hem in huis hebt. Met mijn eigen Raspberry Pi inschatting zit ik dan op § 197 voor 3 lampen van 15 Watt en dan zal je via een webinterface (in linux vinden of maken) en scripts de zaak moeten aansturen (met het vrij goed ontwikkelde Lirc en een goedkope infraroodontvanger kan je ook een afstandbediening maken die werkt op iets wat ook in de winkel wordt geleverd - kwestie van infrarodcommando's aanleren of beter nog een universele betere Logitech aftsandsbediening die je misschien toch al voor televisie en steroinstallatie gebruikt).
Ik denk dat ik het toch kan regelen onder de § 200 (zeker met nog wat doorzoeken). De lampen plug je ook gewoon in de muur en worden aangestuurde over DMX via bijvoorbeeld cat5 - toegegeven dat is niet meteen draadloos als Zigbee, maar daar staat tegenover dat die lampen weer wat fancties ingebouwd hebben als kleuren wisselen en die ADJ QA PAR 38 kan je ook een niet al te dure afstandsbediening bijkrijgen voor stand-alone mode).
Laat nog maar even weten of je het niet met de prijs van die Raspberry of LED-pars eens bent (ik zou toch de dure nemen - en dan heb je ook mooiere kleuren dan die HUE-set met mooi warm light ook hopelijk).

edit: linkje van de eerste LED-par vergeten

edit2 [er is nog niet gemodereerd - dus dan kan ik nog wel iets toevoegen ook denk ik.. ]: Oh, ik zie dat ik me in de haast verteld heb en iets boven de §200 kom (§207) - en die Apple Store stuurt inderdaad gratis op.
Zelf zou ik overigens niet met die LED-parren werken, maar LED-strips (en dan liefst de betere digitale bijvoorkeur met aparte warm witte LEDS - het voordeel van digitaal is dat je ze per lampje aan kan sturen - waardoor je bijvoorbeeld ook een indicatie kan maken van hoeveel emails er binnen zijn gekomen - zelf vind ik het handig om te weten wanneer bijvoobeeld mijn mediacenter een tv-opname begint, zodat ik 15 minuten na het begin van het programma mee kan gaan kijken en dan desnoods over de reclame blokken heen te springen en weer nominaal te lopen aan het einde van het programma - of de afspeelsnelheid 20% hoger te zetten). Nu gebruik ik daarvoor een push-bericht met een scriptje geinitieerd door de mediacenter - maar een keertje geel knipperen zou ook subtiel zijn, van de andere kant als ik niet thuis ben vind ik het soms ook fijn om te weten wat die mediacenter uitspookt, dus de pushberichten houd ik inclusief speciaal niet dominant geluidje - dus dat licht zou daarmee ook weer vooral 'eye candy' zijn, dat ik hooguit zou maken als het weinig extra tijd en moeite kost bovenop functionelere criteria als comfort, laag energieverbruik ren mooier licht dan een gloeilamp.
Veel architectonische lichtelementen die je in geavanceerde gebouwverlichting ziet werken trouwens met DMX, dus met een onbeperkt budget en een binnenhuisarchitect is de kans vrij groot dat je sowieso bij DMX uitkomt. Zelf ben ik euh 'gezegend' met zowel mijn hoofd als mijn handen te kunnen werken (bij de meeste mensen kon hun opa dat nog.. en is dat niet overgegaan op de volgende generaties) en qua afwerkingsniveau zuig ik ook nog wel een puntje vaak aan 'standaardoplossingen' kan krijgen, die dan ook niet echt wat in marketing-termen misschien de wow-factor heet, die dan weer bij standaard hoort zullen overstijgen (maar toegeven, als ik een meubel maak of iets aan de wand waar je zo'n LED-strip in verwerkt - dan kies ik meestal materialen uit die meer kosten dan massa-geproduceerde goederen en dan stop ik er ook graag meer tijd in uit hobby, maar dat was aanvankelijk ook een beetje uit nood geboren - het is niet heel makkelijk om dingen te vinden die je niet beter zelf kan maken (en ook een vakman kan het meestal niet in een veel korter tijdsbestek op dat niveau, dat het toch voor een redelijke prijs kan - zelf zou ik dat trouwens ook niet kunnen vermoed ik zo en zou feitelijk dingen moeten afraffelen om een redelijk uurloon over te houden - dus kwalijk neem ik het ze ook niet, maar het geeft wel aan dat er iets scheef zit met waardecreatie en beloning daarvoor - maar dat is meer mijn wat mogelijk filosofische opvatting - ik zou het aardig vinden zo'n hue-light qua concept misschien echt goed te krijgen (alhoewel voor 'sense & simplicty' moet je het toch eigenlijk wel in een 'oude' lampfitting kunnen schroeven - niet helemaal mijn soort uitdaging), maar het is misschien ook niet voor niets dat je open source ontwikkelaars toch vaak tot dat soort r&d centra kan herleiden met ideeen die ze daar moeilijk kwijt kunnen kennelijk.. je baas moet er maar zin in hebben, het verhaal achter 3M Scotch Tape is zo'n mooi verhaal over een idee dat het dan net wèl gered heeft).

[Reactie gewijzigd door rolandsch op 18 augustus 2013 18:27]

Je onderschrijft precies wat ik zeg.

Als het inderdaad wel lukt voor onder de 200 euro zit je met een systeem waar de kabels er aan alle kanten nog uitbungelen, waarvan het waarschijnlijk niet om aan te zien is. (sorry hoor je gaat toch geen disco lampen in je huis ophangen?) In andere woorden zoals ik zei, niet zo mooi in elkaar zit als de Hue.
De Hue zit gewoon verstopt in de normale huiskamer lampen die ik al had. Jouw oplossing krijg ik nooit verkocht aan mijn vrouw.

Daarnaast heb je dus nog steeds geen software erbij en moet je die nog helemaal van scratch gaan maken..

Als het je hobby is begrijp ik dat je de uitdaging aan gaat, maar voor een persoon die verder niks met DMX en dat soort dingen te maken heeft kan het toch nooit op tegen een kant en klaar massa product als de Hue. Kosten technisch niet en effort wise al helemaal niet. Jij bent weken verder voordat het draait, mijn kant en klare Hue pakket had ik binnen 20 min draaien.

Ik begrijp je gevoel van de Hue is toch zo simpel dat kan ik zelf ook wel. Dat klopt ook, het zal niet het moeilijkste systeem zijn om zelf na te bouwen. De vraag is alleen waarom zou je het willen na bouwen? Als het inderdaad kon voor 30 euro ipv. de 200 euro die de Hue kost, dan was het de moeite waard. Maar je betaald minimaal hetzelfde of wel meer.. Dus dan zou je het echt alleen moeten doen voor de uitdaging/hobby.

[Reactie gewijzigd door ro8in op 18 augustus 2013 18:37]

Ik heb ook nog even doorgezocht en Entec heeft inderdaad ook een interface met ethernet en apps voor Apple en Android ($ 261.. http://www.enttec.com/?main_menu=Products&pn=70305 voor de luxere, waar je dan bijvoorbeeld een wandcontroller voor kan zetten met afstandsbediening http://en.briteq-lighting.com/product/5130/LD-SMART-DIM , die ook nog voor je ega te pruimen is - afgezien van de kosten, maar dat is deels een kwestie van vertrouwen opbouwen en iedere extra cent moet dan iets toevoegen ten opzichte van 'van de plank' en in dit geval wat 'gedummyficeerde' oplossingen). Die wandcontroller kan je ook nog eenvoudiger krijgen voor § 50-60 en dan zit er volgens mij nog steeds een afstandsbediening bij.
Verder moet ik zeggen dat ik er nog wel de lol in zou zien met een paar gelijkgestemden (als het al niet gedaan is) om een Raspberry Pi distro te maken die voor de betrekkelijke leek eigenlijk die doet wat die Philips zou moeten kunnen (nog koninklijker zou zijn om ook die 'Hue-lights' te ondersteunen en mensen zelf uitmaken of ze uitbreiden met dure schroeffitting lampen of vormvrij gaan 'knutselen' met ofwel betere dan wel goedkopere spullen of misschien wel beiden tegelijk). Zelfs zou ik misschien ook wel wat dingen uit andere vakgebieden willen toepassen, zoals betere architectuur dan ik totnogtoe zelfs in open source ben tegen gekomen qua 'gedistrubueerde evenementlijsten'. Maar dat loont eigenlijk vooral als je meerdere huizen of een huis en een bedrijf zou willen aansturen ermee.
Maar we worden het niet eens denk ik: zelf zou ik iets meer geld uitgeven om het beter en functioneler te kunnen maken, waarmee je uiteindelijk per euro misschien beter besteed zou kunnen uitkomen. Verder is dit in principe vormvrij - over het algemeen kan ik dat soort ideeen prima slijten, sterker nog vaak komen de beste ideeen van ega's die vragen of iets dan 'ook kan', wat vaak wel makkelijk te maken is - of ik zie echt beperkingen technisch, maar ik probeer het dan toch en ik moet meestal zeggen dat ik dan meestal gaandeweg die technische beperkingen wel overwin, waar ik zelf soms al gekeerd zou zijn voordat ik eraan begonnen was.
Maar ik wacht ook nog even (metname die LED-strips worden steeds beter en ook nog goedkoper) en ik heb nog wel wat dingen die ik eerst wil realiseren, voordat ik aan een nieuw projectje begin.

[Reactie gewijzigd door rolandsch op 18 augustus 2013 19:21]

Ik denk inderdaad dat we het oneens zullen zijn omdat we het beiden vanuit een ander perspectief bekijken. Jij bekijkt het enkel vanuit een functioneel oogpunt. Met al die dingen die je opnoemt zul je vast de Hue qua functionaliteit kunnen na bootsen of zelfs verbeteren, maar dan heb je wel overal kabels en zwarte lampen en controllers met stekkers lopen. Wil je dat ook nog eens mooi weg gewerkt hebben (wat ik zeker wil aangezien er ook nog andere mensen in mijn huis wonen) dan ga je dat nooit redden voor 200 euro.

[Reactie gewijzigd door ro8in op 18 augustus 2013 20:57]

ro8in .. zeker als hij de bestede tijd omrekend naar minimum loon :)
dan rijzen de kosten de pan uit :)
Ja en dan zal iemand die hier verstand van heeft nog wel meer verdienen dan minimumloon.
Toch denk ik dat het wel meevalt als je ziet wat er al ontwikkeld is op de site van de leverancier van de controller.. ook 'third party', DMX is misschien niet heel efficient, maar uitermate robust (die betrouwbaarheid wil je hebben als het niet gaat om lampjes die je er even 'bijzet') - dus daar zie ik ook niet zoveel risico. Jabber als communicatieprotocol is goed uitgekristalliseerd (daar gaat Philips nu een beetje nat) en wat de kabels betreft.. wat ik nu heb stuurt signalen over het lichtnet, wat eigenlijk 100% van de tijd goed gaat - maar nu er een standaardbekabeling ligt zou cat5 me ook niet zoveel meer uitmaken (alhoewel er dat er bij DMX meestal 2 zullen zijn - van de andere kant ga ik voorlopig geen goed functionerend systeem afdanken - ook al gaan die stuursignalen ook door mijn computers en televisie en is me verzekerd dat dit geen kwaad kan, maar toch.. - en dingen met LEDs en kleuren hebben geen prioriteit maar als ik toch iets gat maken vogel ik die kabeltjes ook wel weg. Maar ze zouden bij Philips toch met meer ambitie een volgende generatie moeten ontwikkelen zou het me iets lijken (als ik het gevoel heb dat ik het zelf kan, is dat geen goed teken.. en ik snap ook wel dat betrouwbaar zenden in de buurt van stroomvoerende leidingen lastig is - maar het is ook wel een beetje vreemd dat iemand als Steve Jobs als buitenstaander de complete telecomsector wegvaagt, bedrijven als Siemens en Nokia zijn op sterven na dood door iemand die zijn studie niet afmaakte en een beetje visie en praktisch inzicht dat bij de rest kennelijk collectief ontbrak) - en je hoeft er ook niet aan te twijfelen of ze dat daar bij Philips zouden kunnen, ze doen ook professionele projecten als de Eiffeltoren en het Empire State Building (beide eigenlijk erfgoed uit een tijd dat er denk ik meer mogelijk was - alhoewel ik nou ook weer niet bij een mislukt Fyra-project wil zitten treuren..). Maar toch is er iets dat knelt (en dat uurloon en die diploma's zijn leuk.. maar die fabrieken in China zijn over het algemeen niet door mensen met diplloma's opgestart - je moet ook heel erg opletten dat je creativiteit niet afleert - en zelfs een 'ontwikkeltarief' voor zaken die elders misschien later voor een hoger tarief ligt vaak gevoelig - en als je inderdaad een relatief zwaar deel overhead moet terughalen dan kleven daar wel risico's aan.
Maar het verbaast me ergens (en toch ook weer niet) dat die huisautomatiseringsdingen zo slecht van de grond komen (onderdelen voor mijn systeem kom je bijvoorbeeld nauwelijks meer aan, van Chinese makelij en redelijk betaalbaar - in Azié zijn ze nog wel actief), maar zo is het nu eenmaal (en ook wat je aan technische dingen bij een bouwmarkt kan krijgen neemt ieder jaar af ten gunste van 'lifestyle' produkten, die over het algemeen het geld niet waard zijn). Gelukkig kan je in Duitsland wel bij webwinkels terecht als consument die een beetje op de 'Technische Unie' lijken waar aannemers veel gebruik van maken hier en houthandels hebben ook nog wel goede spullen.
Stond van de week op Engadget al een stuk over. Is al iemand die een kwetsbaarheid heeft gevonden. Op deze link is ook een video te vinden: http://www.engadget.com/2...rt-light-security-issues/ Die kwetsbaarheid kan er voor zorgen dat er stroomuitval is voor een periode..

[Reactie gewijzigd door spookz0r op 18 augustus 2013 13:46]

En meteen een update voor dit artikel hoe Philips (naar mijn mening, adequaat) reageert.

"In developing Hue we have used industry standard encryption and authentication techniques to ensure that unauthorized persons cannot gain access to lighting systems. An attack of the nature described requires that a computer on your private local network is compromised to send commands internally. This means there is very limited security risk if your home network is properly protected, as traffic passing between your devices and across the internet will remain fully secure. However, if an attack is made upon your home network, everything contained within that network can be compromised. Therefore our main advice to customers is that they take steps to ensure they are secured from malicious attacks at a network level, in order to protect all of their devices, including Hue."
Ik vind dat helemaal geen adequate reactie. Zo schuif je een tekortkoming van jouw product dus af op de beveiliging van het thuisnetwerk van de gebruiker. Dat is makkelijk.

Zorg gewoon dat je goede producten aflevert met adequate beveiliging. Zoals ik in het artikel hier op Tweakers.net lees is er bewust gekozen voor een onversleutelde verbinding en niet zo willekeurige gebruikersnamen. Dit soort fouten hadden met gemak voorkomen kunnen worden als men zich meer had verdiept in de techniek of zich had ingelezen in de beveiliging van computernetwerken.

Sowieso zit er een aardig prijskaartje aan deze lampen en mag je voor dat prijskaartje ook verwachten dat ze de beveiliging goed op orde hebben.

[Reactie gewijzigd door AdoraBelle op 18 augustus 2013 16:14]

Zelfs als Hue zelf "adequate beveiliging" heeft, wat schiet je daarmee op? Iemand die zijn thuisnetwerk zo slecht beveiligd dat zijn pc gekraakt wordt (of, een aanvaller die zo goed is dat ie door sterke beveiliging heen kan breken) die gaat Hue ook als password "1234" geven (of, die aanvaller weet ook wel raad met de Hue beveiliging).
Hoop mensen die wifi gebruiken snappen er weinig van verder. Nu geven zij gewoon het advies jouw thuisnetwerk beter te beveiligen. Beter zou zijn een update van de software voor die lampen dat dat hele commando gewoon niet meer werkt.
Ik snap dat beveiliging een belangrijk punt is bij het versturen van informatie, maar heeft er iemand echt baat bij het onderscheppen van "ga aan" en "word rood"? Ik neem aan dat je geen bankgegevens e.d. naar zo'n lamp gaat en kan sturen?

Kort gezegd: waarom is het belangrijk dat een verbinding met een lamp beveiligd is?
Inbreker/overvaller: ga uit. huis donker --> slag slaan.

Inbreker: staan deze lampen op tijdschakelaar? Zo ja dan zijn ze met vakantie
De tijd waarop een inbreker 's nachts inbreekt zijn de lichten in nagenoeg elk huis toch uit. Al is het volgens mij tegenwoordig populairder om overdag in te breken.

Daarnaast moet ik ook zeggen dat inbrekers wel een heel populair thema bij zulk soort berichten op tweakers zijn, om de meest vergezochte redenaties eraan op te hangen. Kan je Łberhaupt bij deze lampen uitlezen dat ze op een tijdschakelaar staan? (Misschien wel hoor). Betekend dat automatisch dat de bewoners op vakantie zijn? Nee. Maakt het wat uit dan of er http of https gebruikt wordt? Nee, dat maakt alleen uit om het te onderscheppen. Als je het als inbreker wilt aansturen moet je dus het MAC adres van de iphone bijvoorbeeld die gebruikt wordt door de bewoners achterhalen. En dat allemaal zodat je de lampen uit kan zetten. Ik ken makkelijkere manieren om een lamp uit te zetten...

Of je moet als inbreker op bijvoorbeeld het wifi inbreken, en dan met een sniffer het http verkeer onderscheppen, en dan kan je de lampen uitzetten!!!! Oftewel, lekker belangrijk...

Als we straks bijvoorbeeld ventilatie krijgen die qua sterkte afhankelijk is van de luchtkwaliteit krijgen we dan ook klagende tweakers? Omdat een inbreker de airflow van het ventilatiesysteem kan meten en dat gebruiken om te bepalen of er mensen binnen zijn?

Ook relevant voorbeeld: http://www.telegraaf.nl/b...rs_negeren_Twitter__.html. Als een inbreker een leuk huis zoekt om in te breken dan zijn er makkelijkere manieren om een doelwit te vinden dan de lampen te hacken.

Het lijkt me dan ook dat Philips in de volgende versie encryptie erbij kan doen, maar dat het nou niet echt een groot probleem is.
Je vergeet dat, als de hacks eenmaal op internet staan, er ook allerlei "leuke" scriptjes worden gemaakt die ook weer worden verspreid. Iedereen die kwaad wil of lol wil trappen kan zo'n scriptje dan downloaden (script kiddies). Zo onwaarschijnlijk is het dus niet dat deze hacks echt gebruikt gaan worden. Philips had echt zijn huiswerk beter moeten doen.

[Reactie gewijzigd door twop op 18 augustus 2013 22:26]

Het lijkt mij dat die zogenaamde inbreker van jou, een onrealistisch hoge kennis heeft gezien het feit dat hij inbreekt in een huis.

Hij kan met zijn kennis beter wat anders gaan doen. Is waarschijnlijk lucratiever en minder illegaal.
Ja, bijvoorbeeld:
Wordt de Hue deze avond niet gebruikt? Zou dat zijn omdat de bewoners niet thuis zijn?
De tijd waarop een inbreker 's nachts inbreekt zijn de lichten in nagenoeg elk huis toch uit. Al is het volgens mij tegenwoordig populairder om overdag in te breken.
dat is het zelfs al jaren. Inbrekers weten donders goed waar ze moeten zijn, d'r is 2 keer bij me ingebroken, terwijl op dat moment er geen vast patroon van afwezigheid was. Beide keren overdag.

Dat was voor 2008. (toen is al het hang en sluitwerk vervangen, alsmede alle kozijnen en sponningen voor iets wat inbraakwerend is)

Met al die 2-verdieners tegenwoordig is dat ook niet gek ook. Een inbreker ligt 's nachts ook liever in z'n bed.
heeft iemand wel eens naar de inbraak cijfers van nederland gekeken? :+
(paranoÔde non-issue)

[Reactie gewijzigd door stewie op 18 augustus 2013 16:54]

Ik denk dat even aanbellen makkelijker is. Het is natuurlijk een volkomen overdreven reactie. Beveiliging is blijkbaar een buzz-word geworden.

Ik weet er nog een paar. Mijn Klik-aanklik-uit systeem is ook niet waterdicht. Om nog maar te zwijgen van de infraroodafstandsbediening van mijn versterker en TV.
Waar het denk ik om gaat is het basisidee of men een product veilig voor misbruik maakt.

Het voorkomen van dit soort bugs kost niet veel het kost even nadenken en een betere beveiliging implementeren.

Het laat zien hoe laks men hier in is. Je mag er dan ook van uit gaan dat men bij belangrijkere producten ook weinig waarde hier aan hecht., Dat is dus een slechte zaak.

Bij iedere product dat op afstand te besturen is moet veiligheid standaard ingebouwd zijn.
Het is mij nog steeds een raadsel waarom hue via draadloos moet lopen, dat was ook mogelijk geweest via het lichtnet. Dan heb je ook meteen een stuk van de beveiliging afgedekt..

[Reactie gewijzigd door cmegens op 20 augustus 2013 09:38]

Waarschijnlijk bedoel je draadloos ipv eerste lichtnet? Dat het via het lichtnet inderdaad betrouwbaarder is?

[Reactie gewijzigd door kakanox op 19 augustus 2013 09:00]

Dat vind ik dus echt gelul. Er zijn zeer veel producten waar beveiliging er echt niet toe doet. Ja dan komt je neefje een keer met een tweede afstandsbediening waarmee je TV op een andere zender wordt gezet, nou en?

Natuurlijk moeten systemen waar het wel belangrijk is goed beveiligd worden, maar de meeste mensen die dit soort 'gebreken' naar buiten brengen doen dit uitsluitend voor eigen gewin.

Een Sophos heeft er enorm belang bij dat sites als Tweakers hun berichtje kritiekloos overnemen. En blijkbaar lukt dat dus. Dat lijkt mij veel gevaarlijker dan een lichtje van de buren dimmen.
<sarcasme modus>
Mijn dimmer is ook niet beveiligd.... :N
Iedereen die er aan draait kan de lamp feller of minder fel laten branden. Ze kunnen de lamp zelfs helemaal uit zetten. :|

</sarcasme modus>

Tja, de gevolgen zijn wat beperkt en beveiliging is inderdaad een buzz-word geworden.

Toch zit er wel wat in. Nu gaat het om een lampje, maar domotica (het geautomatiseerde huis) is wel degelijk een concept met toekomst muziek.
Wanneer fabrikanten zich al in een beginstadium druk maken om beveiliging, dan is het gewoon geworden tegen de tijd dat we er groot gebruik van maken en er meer afhankelijk van worden.
Het is een soort van opvoeden dus.

Een tijdje geleden lachte ook iedereen over de "hackbare auto". Inmiddels zijn er succesvolle experimenten waarbij op afstand de remmen aan en uitgeschakeld kunnen worden. Dan wordt het plots een heel ander verhaal,

[Reactie gewijzigd door T-men op 18 augustus 2013 16:37]

Beperkt? voor de georganiseerde misdaad misschien. Voor buren ruzies, zakelijke conflicten, overlast van hangjongeren, etc wordt het wel al heel snel vervelend wanneer ze je huis in een kerstboom veranderen, slaap lekker zou ik zeggen.

Het blijft schikbarend hoe kort het inzicht is bij domotica fabrikanten, beveiliging is gewoon een voorwaarde voor uitrol op enige schaal. Een andere is standaardisatie wat op dit moment ook nog om te huilen is.

//edit
Lampen er uit draaien wordt nog al vervelend wanneer ze door je hele huis zitten. Bovendien zijn ze vaak niet goed bereikbaar zoals djwice ook al aangeeft. En treiteren is meestal stelselmatig waarmee de lamp er uitdraaien gevolgd kan worden met het deponeren er van in de afval bak.

[Reactie gewijzigd door Mr_Light op 19 augustus 2013 02:17]

Beperkt? voor de georganiseerde misdaad misschien. Voor buren ruzies, zakelijke conflicten, overlast van hangjongeren, etc wordt het wel al heel snel vervelend wanneer ze je huis in een kerstboom veranderen, slaap lekker zou ik zeggen.
Beperkt ja. Want ze moeten eerst nog even toegang gekregen hebben tot de bridge, die als het goed is op je WPA2 beveiligde netwerk hangt, of op je fysieke bekabeling. Als ze zover zijn, heb je grotere problemen dan een lampje die aan/uit gaat.
*pakt trapje*
*draait lamp eruit*
*roept iets over die jeugd van tegenwoordig*
*gaat verder slapen*
Eh, of je zet ze gewoon uit met de schakelaar in de muur??? Lijkt me makkelijker.
* pakt ladder uit schuur
* loopt 3 meter omhoog op de ladder
* jongeren doen licht uit, zie je niets meer op de ladder..
* brand vingers aan lamp
* jongeren blij
.....

* volgende avond ladder op, lamp er in
* volgende nacht...
... jongeren blij
enz.

[Reactie gewijzigd door djwice op 19 augustus 2013 00:43]

* Pakt luchtbuks
* Schiet lamp kapot
* Moppert nog wat over moderne techniek
Het beveilinglek stel je in staat de lampen aan te sturen die 9 van de 10 keer aan een tijdklok hangen, de vraag is ook of de tijdklok zichtbaar is.. Dit is weer afhankelijk wat er gebruikt wordt als tijdschakelaar en hoe. Dus het punt staat nog steeds, wat is de impact..?

Ps. Inbrekers zoeken meer naar routines en andere info om te bepalen of iemand er wel of niet is. Voorheen lazen ze je informatie van je koffer bij schiphol, dat is simpeler dan gokken of je thuis bent.
dan moeten ze eerst toch toegang hebben tot je netwerk. Die Hue bridge hangt gewoon met WPA2 aan je WiFi netwerk namelijk. Het is dus niet zo dat iedereen in het bereik van je netwerk die gegevens kan sniffen.
.. om vervolgens vol in de schijnwerper bij de voordeur te staan die op een bewegingssensor werkt.
Inbrekers bellen meestal gewoon aan om te zien of iemand thuis is, en dat doen ze gewoon overdag.
Zo werken inbrekers niet. Ze zijn gehaaid, maar niet zů gehaaid.

Bovendien doen ze gewoon de gordijnen dicht en het licht aan.
Zo dat weet jij wel heel goed.
@RVervuurt

Beste R,

Een lampje met een WiFi interface kan van buiten je huis bediend worden. Zou jij b.v. je verlichting, wasmachine, verwarming, warmwater boiler voorzien vaan een schakelpaneel aan de buitenkant naast de voordeur?

Dat is namelijk wat je aan het doen bent als je zo'n Philips lampje koopt. Je hoeft niet eens te denken aan criminaliteit om te snappen dat je zoiets niet moet doen: het is een prachtig object voor baldadige jongeren om zich op uit te leven. Zoiets als belletjetrekken, maar dan makkelijker. Ook erg lollig zou het zijn om b.v. bij bejaarden opeens het licht uit te schakelen, en dan luisteren of je wat hoort vallen. Of bij iemand waaraan je een hekel hebt de lampjes via een scriptje in een knipperlichtshow constant aan-en uit te zetten.

Het feit dat jij (en veel regeerders hier) niet een-twee-drie een lijstje kan verzinnen met dingen die allemaal mis kunnen gaan of manieren waarop er misbruik van gemaakt kan worden betekent nog niet dat die er niet zijn, en is geen excuus voor een dom ontwerp (zoals dit).

Ieder apparaat dat fysiek dingen doet moet van een duegdelijke toegangscontrole voorzien zijn. Normaal gesproken wordt die toegangscontrole verzorgd door de voordeur en de achterdeur maar bij een WiFi verbinding is die beperking weg.
Zoals al eerder opgemerkt, als je je wifi netwerk goed beveiligt is er toch niets aan de hand. Men komt niet op het netwerk, dus kan men de http communicatie ook niet onderscheppen. Dus dit is geen issue.
@marcdeli

Te kort door de bocht vrees ik. Het gaat niet on jouw WiFi netwerk, het gaat om die lampjes.

Je zou gelijk gehad hebben als die lampsjes via een versleutelde verbinding aan je WiFi hangen, en niet ingaan op andere WiFi requests. Je zou dan op die lampjes je netwerk key moeten installeren, en daar zie ik echter niets van terug.

Het zou zomaar kunnen dat die lampjes gewoon hun diensten aanbieden als onversleutelde webservice van wie ook maar contact maakt.
Omdat ze ongetwijfeld hetzelfde protocol gaan copy/pasten in andere toestellen?
Big data denk ik dan aan. Met de juiste filters kan dit soort info juist heel handig zijn. Moet alleen wel bij de rechtmatige eigenaar blijven lijkt me.
Ben ik de enige die hierbij meteen denkt, het is een lamp, waarom moet dit goed beveiligd zijn ?

Of is dit meer een issue omdat het weer een slecht beveiligd product is?
Omdat het ook via het internet toegankelijk is, ben je mooi de sjaak als er een virusje rondgaat voor PC's die het internet afzoeken naar dit soort dingen, en dan continu met je lampen gaan rotzooien (kwajongensstreek) of denk aan ransomware.. betalen, of we blijven je verlichting vern**ken...

Of je lampen knipperen steeds en in ene staat er een "monteur" voor de deur om het op te lossen, die ondertussen ook even je huis leeghaalt.
Nu zullen "wij tweakers" er niet in trappen als er in ene je lampen beginnen te knipperen, en er staat binnen een paar minuten een monteur voor de deur om het op te lossen, omdat het systeem zelf al een melding naar philips had gestuurd en dat er direct brandgevaar is als het probleem niet onmiddelijk gefixt word. Maar je moet ze de kost geven die dan iemand zomaar binnen laten van: "het zal wel kloppen..."

Als iemand zonder toestemming ergens toegang toe kan krijgen, kan je er op wachten dat ze een manier verzinnen om er aan te verdienen..
Sorry hoor, maar dit is echt wel heeeeel ver gezocht. Iemand die eerst even op je thuis netwerk inbreekt om vervolgens je philips hue lampen te knipperen om vervolgens bij je deur aan te bellen met een Philips overall aan (want die had hij toevallig nog liggen?) Om dan maar te hopen dat jij even niet kijkt zodat hij je TV recorder(whut??) onder zijn trui kan steken?
Bij ons in de buurt is dat een jaar of 5 tot 10 geleden actief gedaan met lampen die bij een grote "budgetsupermarkt" in de aanbieding waren. Toen kwam er ook een oost europeaanse monteur aan de deur om de verlichting te fixen omdat het apparaat via het internet een storingsmelding zou hebben gedaan, en er brandgevaar was. Ik heb hem uitgelachen en gezegt op te hoepelen. 2 straten verderop heeft het toen wel een beroving opgeleverd. De bewoner daar had ze binnen gelaten en later op de avond kwam hij er achter dat niet alleen het probleem met de lampen verdwenen was, maar ook de sierraden, portomonee en een laptop waren verdwenen.

Daarna zelf even met die afstandsbediening een rondje door de buurt gemaakt (hij had maar 3 kanalen waaruit je kon kiezen) en bij bijna ieder blok was het raak en had iemand kennelijk een soortgelijke set.

Onderschat de vindingrijkheid van criminelen nooit!
Uiteraard heb je de politie gebeld toen je die "monteur" had weggestuurd en het niet vertrouwde, toch?
Sorry, maar ik geloof je niet. Heb je misschien een nieuws bericht hierover?

[Reactie gewijzigd door ro8in op 18 augustus 2013 20:37]

Het is denk ik meer een issue omdat Sophos de laatste tijd wat te weinig in het nieuws komt, en even aandacht nodig heeft :)
Het is een lamp... En je moet op het WiFi netwerk van de eigenaar zitten...
Nee, je kunt ook via het internet erbij komen. Dat is juist de bedoeling van dit soort toepassingen, om bijv. het licht aan te doen als je onverwacht laat thuiskomt, zodat je huis er niet al te uitnodigend voor inbrekers uitziet. Overal waar je dus toegang zou kunnen hebben tot data-verkeer op het internet kun je hiermee gaan spelen.

En je kunt er dus een stevig potje buren-pesten mee gaan doen, door te pas en te onpas met de verlichting te gaan knoeien, en bijv. ze financieel te benadelen door de lichten overdag uren te laten branden.
nee. dit lek gaat over de comm. op je interne netwerk van bridge naar lamp.
De comm. via internet is via een login
Stel b.v. dat over enkele jaren dit soort lampen gemeengoed worden, dan is het voor iemand met kwade bedoeligen makkelijk om chaos in een openbare ruimte te maken door alle verlichting ineens uit te schakelen zonder dat te herleiden is wie het was.

Het is goed dat het in ieder geval onder de aandacht komt. Als ik het zo lees is het voor Philips betrekkelijk eenvoudig om de beveiliging te verbeteren. Iets wat je ook wel mag verwachten met de prijs van deze lampen.
"stel je voor dat in de toekomst openbare ruimtes met philips hue lampen verlicht worden"

echt? dat lijkt me niet erg waarschijnlijk ;)

[Reactie gewijzigd door boe2 op 18 augustus 2013 13:52]

Niet perse Philips Hue lampen natuurlijk. Maar lampen die bediend kunen worden via het netwerk.
Zo'n beetje alle straatlantaarns in Nederland kunnen aan- en uitgeschakeld worden door een sms'je met de goede tekst naar een bepaald nummer. Zijn die nu dan ook onvoldoende beveiligd?
Er wordt in veel openbare ruimtes al gebruik gemaakt van verlichting van of ontwikkeld door Philips. Nu zullen ze natuurlijk geen Hue lampen gebruiken maar dan een professionele variant daarvan. Maar ik moet er niet aan denken dat er dan ook over dergelijke beveiligingsproblemen heen gekeken wordt. En dan heb ik het niet over de custom-oplossingen zoals de Eiffeltoren of het Chrysler gebouw, maar over de multi-purpose verlichtingsoplossingen die je ziet in ziekenhuizen, of het gemeentehuis, of bij een willekeurig flatgebouw. Philips zit overal in, vooral in haar thuismarkt Nederland.
Hoewel ik niet verrast ben dat deze beveiliging zwak zou zijn, wat is het ergste dat hiermee kan gebeuren? Dat ze mijn huis veranderen in een horrorhotel met flikkerende lampen?
Het meest irritante wat ik kan bedenken is een buurjongen die midden in de nacht de lampen in je slaapkamer op vol vermogen zet. Er onstaan wel problemen als Philips (wat ze waarschijnlijk in de planning hebben) het Hue platform uitbreiden zodat je er ook bijv. de radio mee kan aanzetten of wat dan ook.
Mooi. De lampen zijn al duur genoeg, ik had het onzin gevonden als Philips nog meer geld tegen een compleet nutteloze beveiliging aangegooid zou hebben.

Dit is puur een gevalletje aandachttrekken door Sophos. Even laten zien dat we er ook nog zijn. Niks aan de hand, gewoon doorlopen en gewoon die lampen blijven gebruiken. Gezeur om niets, dit.
Door dat prijskaartje vind ik juist dat ze de beveiliging ook wel beter op orde hadden kunnen hebben. De kennis voor de techniek van ledlampen en multi-kleur lampen is allang aanwezig bij Philips en het enige wat nieuw is, is dus de aansturing via Wifi. Dat is het stukje R&D wat in de prijs zit. Als ze dan juist op dŠt gebied hun werk niet goed gedaan hebben dan vind ik dat ronduit belachelijk. Daar betaal ik toch voor?
Anders had ik wel gewoon een ledlamp of een Living Colours lamp gekocht.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True