Reilut pari viikkoa sitten moni internetin käyttäjä sai hyvän osoituksen siitä, miten esineiden internet, IoT, voi järisyttää internetin perustuksia ja haitata arkista elämää. Valvontakameroita ja muita verkkoon kytkettyjä sekalaisia laitteita käytettiin palvelunestohyökkäyksissä, jotka saivat muun muassa Netflixin, Spotifyn ja Twitterin hetkeksi polvilleen. Yksi houkutteleva kohde tuleville hyökkäyksille voivat olla muun muassa langattomat älyvalaisimet, kertoo New York Times. Myös itse hyökkäys voidaan toteuttaa langattomasti, esimerkiksi lennokkien avulla.
Monien langattomien älylaitteiden sijoittaminen pienelle alueelle, esimerkiksi kaupungissa, voi houkuttaa hyökkääjiä. Tutkijat ovat nyt löytäneet haavoittuvuuden langattomasta teknologiasta, jota käytetään monissa älykotien laitteissa, kuten älyvalaisimissa, -lukoissa ja -termostaateissa.
Tutkijat keskittyivät erityisesti Philips Hue -älylamppuihin, jotka he saivat hallintaansa yksinkertaisilla välineillä. Erityisen huolestuttavaksi haavoittuvuuden tekee se, että jo yksi saastunut lamppu voi levittää haittaohjelmaa eteenpäin ja näin saastuttaa jopa tuhansia laitteita pienen alueen sisällä. Lisäksi tutkijat onnistuivat saastuttamaan sisällä rakennuksessa toimivan verkon ulkopuolelta, autosta, joka sijaitsi 70 metrin päässä rakennuksesta. Vastaavasti tutkijat ovat havainnollistaneet haittaohjelman levittämistä rakennuksen ulkopuolella lentävästä lennokista.
Kun yksi lamppu oli saatu etänä saastuttettua, oli haittaohjelma minuuttien sisällä levinnyt jo useisiin lähialueen lamppuihin. Lisäksi haittaohjelma pystyi leviämään lampusta toiseen, vaikka nämä eivät olisi edes kuuluneet samaan yksityiseen verkkoon.
Tutkijat loivat haittaohjelman leviämisestä mallin, jossa Pariin kokoisella, noin 100 neliökilometrin laajuisella alueella haittaohjelma voisi levitä kattamaan koko alueen, kun vain 15 000 laitetta olisi levitettynä eri puolille aluetta.
Haavoittuvuus juontuu 1990-luvulla luodusta radioalan standardista, ZigBeestä, jota käytetään useissa langattomissa kodin laitteissa. Standardin pitäisi olla turvallinen, mutta sitä ei ole ylläpidetty samalla tavalla kuin muita internetin turvastandardeja.
Tutkijat havaitsivat, että ZigBeen avulla voidaan luoda mato, laitteesta toiseen itsenäisesti ohjautuva haittaohjelma, jolla laitteita voidaan ottaa etänä haltuun. Kodin älylaitteita voitaisiin näin hallita ulkopuolelta ja esimerkiksi haitata arkipäiväistä elämää lamppujen, termostaattien ja muiden laitteiden toimintaa säätelemällä, tai laitteita voitaisiin käyttääsuuriin palvelunestohyökkäyksiin, kuten pari viikkoa sitten tapahtui.
Tutkijat ilmoittivat haavoittuvuudesta Philipsille, joka julkaisi korjauspäivityksen Hue-lampuilleen lokakuun alussa. Tutkijat huomauttavat, että he onnistuivat levittämään matoa muutaman sadan dollarin hintaisilla peruslaitteilla. Heidän mukaansa tapaus osoittaa, että jopa standardoituja turvatekniikoita käyttävän suuryrityksen on vaikea toteuttaa tietoturvaa oikein.