四年前，安全研究人员展示了一架飞行的无人机如何从建筑物外黑掉布满飞利浦Hue智能灯泡的整个房间，方法是触发从一个灯泡到另一个灯泡的病毒式连锁反应。

如今我们获悉，漏洞从未被完全修复，研究人员现在已经有办法利用这一问题秘密潜入你的家庭或公司网络，除非你安装一个补丁。

这是网络安全研究公司Check Point的说法，好消息是你应该不会遭到最严重的黑客攻击。

如果控制灯泡的飞利浦Hue Hub集线器与互联网相连，它应该已经自动更新到1935144040版本，其中包含你想要的补丁。Check Point去年11月通知了飞利浦，后者于今年1月中旬发布了补丁。

令人欣慰的是，需要相当聪明、有耐心的黑客才能首先利用该漏洞。除了可能给Hue灯泡无线上传恶意更新外（2016年使用的技术）,它还通过长时间干扰灯泡颜色和亮度来诱使业主重置灯泡和把灯泡加入自己的网络。此时被入侵的灯泡发送的数据会淹没Hue Hub从而控制它。

以下是Check Point的部分解释：

带有更新固件的灯泡被黑客控制后，会利用ZigBee协议漏洞向桥接器发送大量数据，从而触发基于堆的缓冲区溢出。这些数据也使黑客能在桥接器上安装恶意软件，而恶意软件进而连接到目标企业或家庭网络。

不过，灯泡本身似乎仍然容易受到黑客攻击。当2016年这架无人机引爆小规模物联网病毒时，各公司通过限制灯泡对灯泡跳跃来设法避免发生最坏的情况。

但由于设计上的限制，灯泡的漏洞仍然存在，导致了新的黑客攻击，或许未来还会有其他尚未被发现的黑客攻击，只要这些灯泡还在使用。让这些灯泡继续处于危险状态可能比让黑客随意开关灯泡更危险。

虽然CheckPoint尚未对其他品牌进行测试，但其研究人员称，该漏洞可能并不仅限于飞利浦的Hue灯泡和集线器，而是存在于Zigbee通信协议本身，许多智能家居品牌都在使用该协议，包括亚马逊的Ring、三星的SmartThings、宜家的Tradfri、Belkin的WeMo，以及耶鲁锁、霍尼韦尔恒温器和康卡斯特的Xfinity家居报警系统。

这就有趣了，家庭和企业用户已经购买了好多这类设备，它们大概会用上好些年，未来几年可能会暴露在安全危险之下。我们也想知道，下一个由不安全的设备构成的大规模物联网僵尸网络何时会卷土重来。

位于以色列特拉维夫的Check Point 软件科技公司所发布的这一漏洞依靠某种常见的攻击技术，而太多的物联网设备没有自动进行软件更新。Check Point并未挑出任何其他容易受到攻击的设备，但zigbee认证的硬件确实有很多。

Check Point发布的一段视频展示了利用该漏洞进行攻击的工作原理。当诡异的音乐响起，房间里的Hue灯泡开始改变颜色并忽明忽暗时，就表明有攻击者利用未打补丁的桥接器漏洞来夺取控制权了。攻击者会利用感染病毒的桥接器接管接入该桥接器的Windows 7笔记本电脑。

Check Point网络研究主管雅尼夫·巴尔马斯（Yaniv Balmas）总结道：“一旦黑进你的家庭网络，我就可以做任何我想做的事情了。”

攻击者不需要进入你家里或办公室内，甚至不需要与攻击目标使用同一个无线网络，相反，将一根特殊天线从330英尺远的地方连接到一台笔记本电脑上，就可以破解桥接器和Hue灯泡之间的Zigbee射频通信。

“Zigbee是个复杂的协议，”巴尔马斯说。“和往常一样，问题出在执行上。”

在本例中，Check Point发现一个缓冲区溢出攻击就足以在Hue桥接器上运行恶意代码。这是一种常见技术，攻击者常常利用它向程序发送出乎意料的数据量，而程序原本要求输入特定大小的信息。

（一些较新的Hue智能灯泡套件不需要桥接器，该bug似乎不影响它们。）

老问题，新目标

同样的缓冲区溢出这种底层手段导致了对“心脏出血”（Heartbleed）病毒的脆弱性，早在6年前就给大部分在线网站留下了安全漏洞，而开发商还不知道该如何填补这个漏洞。正如巴尔马斯所说，“缓冲区溢出无处不在。”

然而，该补丁的发布说明没有提供什么有用信息，这暴露了软件行业的一个普遍缺陷。它的全文是这么写的：“我们定期更新您的Hue桥接器，以提高系统的性能和可靠性。”

但它至少对Check Point的报告做出了正确回应，并已制定了自动更新政策。想知道你的Hue桥接器是否已打上补丁，打开Hue app，点击设置，然后点“软件更新”。

该公司还制定了漏洞披露政策，这是许多电子配件供应商未能采取的一个关键步骤，而这可能会导致安全问题研究者不清楚如何将其发现传达给合适的人。

许多其他物联网供应商可能没有这么在意。

“我们不可能研究每一种设备，”巴尔马斯警告说。“如果你问我其他设备是否也存在同样或类似的漏洞，我的回答可能是肯定的。”

如何检查飞利浦Hue桥接器固件版本

• 在安卓或iOS手机或平板电脑上打开飞利浦的Hue app
• 点击底部选项面板的“设置”标签
• 向下滚动，直到看到“软件更新”，然后点击该选项

• 下一页将显示所有设备及其固件版本。在下面的屏幕截图中，Hue桥接器显示在设备列表顶部。你可以看到它已经更新到1935144040版本。

如何更新飞利浦Hue设备固件

• 然而，如果你的硬件（不管是桥接器还是灯泡）需要更新，这个app会用一个实心的绿色气泡来通知你，在本截图中，绿色气泡里会出现白色的复选框。如果是这样，点击进入并选择“更新”。

• 进入该页面，在页面顶部启用“自动更新”来寻求内心平静吧，以防出现需要紧急补丁的其他漏洞。
• 一旦在所有联网产品旁边看到白色复选框，你就会知道你的飞利浦Hue设备的安全和软件更新是最新的。

本文编译自多家外媒，译者：Sail2008

声明：著作权所有，转载需授权，严禁抄袭，违者必究！

更多精彩内容，请关注我们。

Come on，给你的灵魂充充电！

相关推荐：

• 当真实的家叠加上虚拟现实，未来家居将拥有全新的交互界面
• 未来款显示器？AR隐形眼镜“魔镜”有望取代智能手机
• 未来我们如何与受众沟通？VR技术打造下一代营销场景
• 如何找到Airbnb民宿房间里隐藏的摄像头
• 《连线》载文呼吁：别给孩子买联网玩具