你的飛利浦色相燈泡仍然可以被駭客入侵-直到最近，危及你的網路

四年前，安全研究人員展示了一架飛行中的無人機如何透過引發一個類似病毒的連鎖反應，從一個燈泡跳到另一個燈泡，從而從建築物外侵入一整間滿是飛利浦智慧燈泡的房間。今天，我們瞭解到，漏洞從未得到完全修復-現在，研究人員已經找到了一種方法，利用同樣的問題，有可能滲透到您的家庭或公司網路，除非您安裝補丁。...

四年前，安全研究人員展示了一架飛行中的無人機如何透過引發一個類似病毒的連鎖反應，從一個燈泡跳到另一個燈泡，從而從建築物外侵入一整間滿是飛利浦智慧燈泡的房間。今天，我們瞭解到，漏洞從未得到完全修復-現在，研究人員已經找到了一種方法，利用同樣的問題，有可能滲透到您的家庭或公司網路，除非您安裝補丁。

這是來自網路安全研究公司Check Point Software的一句話，好訊息是你應該已經安全地躲過了駭客攻擊最嚴重的部分。如果控制你的燈泡的飛利浦Hub連線到了網際網路，它應該已經自動更新到1935144040版本，其中包含你想要的補丁。（Check Point在11月通知了飛利浦，1月中旬釋出了一個補丁。）我剛剛在飛利浦Hue應用程式中檢查了我自己的hub韌體版本，我很好。

很高興知道一開始可能需要一個相當聰明、耐心的駭客來利用這個漏洞。除了推測上傳惡意無線更新到色調燈泡（2016年使用的技術）之外，它還依賴於干擾被黑燈泡的顏色和亮度足夠長的時間，以誘使使用者重置燈泡並將其重新新增到自己的網路中，此時被黑燈泡用資料壓倒色調中心，輪流控制中心。下面是Check Point如何解釋這一部分：

The hacker-controlled bulb with updated firmware then uses the ZigBee protocol vulnerabilities to trigger a heap-based buffer overflow on the control bridge, by sending a large amount of data to it. This data also enables the hacker to install malware on the bridge – which is in turn connected to the target business or home network.

但看來，燈泡本身可能仍然容易受到駭客攻擊。CheckPoint寫道，當那架飛行的無人機在2016年引發一種微型物聯網病毒時，公司找到了一種方法，透過限制燈泡間的跳躍來解決最壞的情況。但“由於設計上的限制”，燈泡的弱點仍然存在，導致新的駭客-也許還有其他尚未被發現的駭客在我們的未來，只要這些燈泡繼續服務。讓這些燈泡容易受到攻擊可能比讓駭客隨意開啟或關閉你的燈更危險。

儘管Check Point還沒有對其他品牌進行必要的測試，但其研究人員稱，這種漏洞可能並不侷限於飛利浦色調燈泡和輪轂。很多智慧家居品牌都使用Zigbee通訊協議，包括亞馬遜的Ring、三星SmartThings、宜家Tradfri、貝爾金的WeMo，以及耶魯鎖、霍尼韋爾恆溫器和康卡斯特的Xfinity家庭報警系統。

這將是有趣的，看看有多少裝置業主和企業已購買-他們大概預計將持續多年-可能會開啟他們的安全漏洞多年的道路。我們仍然在想，下一個用不安全的小玩意構建的大規模物聯網殭屍網路什麼時候也會露出醜陋的頭顱。