Teadlased on näidanud, kuidas ründaja võib Ikea Trådfri nutikas valgustussüsteemis lambipirnide juhtimise üle võtta, muutes pirnid lõpuks täisvalguseni – ja kasutajad ei saa neid rakenduse ega kaugjuhtimispuldi kaudu vaigistada.
Synopsys CyRC küberjulgeoleku analüütikud leidsid, et kui ohus osaleja saadab ikka ja jälle sama valesti vormindatud Zigbee kaadri (IEEE 802.15.4), võib ründaja kasu saada kahest haavatavusest (jälgitakse CVE-2022-39064 ja CVE-2022 alusel). 39065) Ikea Trådfri nutikas valgustussüsteemis.
"Väärakujuline Zigbee kaader on autentimata leviteade, mis tähendab, et see mõjutab kõiki raadio levialas olevaid haavatavaid seadmeid," selgitati Synopsysi aruandes.
Tulemused Asjade Interneti (IoT) turvaviga Syopsys lisas, et see on valgustussüsteemi tehaseseadetele lähtestamine, kus kasutajalt võetakse kontroll oma pirnide üle nii Ikea Smart Home rakenduse kui ka kaaslase Trådfri kaugjuhtimispuldi kaudu. See algab vilkumisest ja jätab seejärel tuled püsivalt põlema.
"Sellest rünnakust taastumiseks võib kasutaja lüüsi käsitsi sisse lülitada," ütles meeskond. "Kuid ründaja võib rünnakut igal ajal korrata."
Sünopsia avalikustas nutika valgustuse haavatavused Ikeale juunis 2021 ja Ikea andis välja paranduse 2022. aasta veebruaris, lisati aruandes.
