Onderzoekers van beveiligingsbedrijf van Rapid7 hebben negen lekken in 'slimme' Lightify-lampen van Osram gevonden. Het bedrijf heeft inmiddels vijf daarvan weten te dichten. De bijbehorende app sloeg onder andere het wifi-wachtwoord zonder versleuteling op.
Dit lek, met kenmerk cve-2016-5051, maakte het voor een aanvaller mogelijk om het wifi-wachtwoord te achterhalen als hij bijvoorbeeld het apparaat met de geïnstalleerde app in bezit wist te krijgen. Deze kwetsbaarheid in de Home-versie van het product is inmiddels opgelost. Daarnaast kwamen de onderzoekers erachter dat de standaard wpa2-wifiwachtwoorden die door het systeem gebruikt worden zeer zwak zijn, omdat zij alleen bestaan uit de cijfers nul tot en met negen en de letters a tot en met f. Daardoor waren deze in minder dan zes uur te kraken. Dit lek met kenmerk cve-2016-5056 , aanwezig in de Pro-versie, is eveneens opgelost.
De nog niet opgeloste problemen hebben te maken met een gebrek aan ssl pinning en het opnieuw kunnen versturen van commando's via het ZigBee-protocol. Daardoor kan een aanvaller een man-in-the-middle-aanval uitvoeren en verkeer onderscheppen. Ook kan een kwaadwillende zonder authenticatie commando's aan het systeem versturen en daarmee de verlichting verstoren of onderbreken. Andere, wel opgeloste kwetsbaarheden lieten een gebruiker verbinding maken met een kwaadaardig wifi-netwerk en stelden een kwaadwillende in staat om een aanval via de browser uit te voeren via injectie van javascript.
Rapid7 legde midden mei contact met Osram, dat op 21 juli met een update over de voortgang van het ontwikkelen van patches kwam.