A kutatók bemutatták, hogyan veheti át a támadó az Ikea Trådfri intelligens világítási rendszerében lévő izzók irányítását, és végül az izzókat teljes fényerőre kapcsolja – a felhasználók pedig nem kapcsolhatják le őket az alkalmazáson vagy a távirányítón keresztül.
A Synopsys CyRC kiberbiztonsági elemzői azt találták, hogy ha egy fenyegetett szereplő újra és újra elküldi ugyanazt a rosszul formázott Zigbee-keretet (IEEE 802.15.4), a támadó két (CVE-2022-39064 és CVE-2022-) biztonsági rést élvezhet. 39065) az Ikea Trådfri intelligens világítási rendszerében.
"A hibásan formázott Zigbee keret egy nem hitelesített sugárzott üzenet, ami azt jelenti, hogy a rádió hatótávolságán belül minden sebezhető eszköz érintett" - magyarázta a Synopsys jelentés.
A A tárgyak internete (IoT) biztonsági hibája A világítási rendszer gyári alaphelyzetbe állítása, ahol a felhasználó megfosztja az izzók feletti irányítást mind az Ikea Smart Home alkalmazáson, mind a hozzá tartozó Trådfri távirányítón keresztül – tette hozzá Syopsys. Villogással kezdődik, majd folyamatosan, teljesen felkapcsolva hagyja a lámpákat.
"A támadásból való kilábaláshoz a felhasználó manuálisan bekapcsolhatja az átjárót" - mondta a csapat. "A támadó azonban bármikor megismételheti a támadást."
A Synopsys nyilvánosságra hozta a intelligens világítási sebezhetőségek 2021 júniusában az Ikeának, az Ikea pedig 2022 februárjában kiadott egy javítást – tette hozzá a jelentés.
