חוקרי הגנת הסייבר של צ'ק פוינט איתרו חולשות אבטחה חמורות בפרוטוקול ה"נורות החכמות" מהמותג של פיליפס. החולשות איפשרו החדרת נוזקות לעסקים, רשויות ואף בתים המשתמשים בנורות אלו, על ידי השתלטות מרחוק על הנורות וניצול החיבור שלהן מצד אחד לרשת הרדיו ומן הצד השני אל רשת המחשבים. החולשות שנמצאו ממחישות את הסכנות הקיימות במוצרי "האינטרנט של הדברים" (IoT) אשר נועדו להתחבר לרשת האינטרנט אך נעדרים, במרבית המקרים, הגנה מספקת.
המחקר הישראלי התמקד בנורות החכמות מדגם Philips Hue - מובילת השוק העולמי בתחום. החולשות (CVE-2020-6007) מתמקדות בפרוטוקול ה-ZigBee, פרוטוקול אלחוטי המשמש לשליטה בנורות ואשר נמצא בשימוש בקשת רחבה של מוצרי IoT. חוקרי צ'ק פוינט בסיוע מכון צ'ק פוינט לאבטחת מידע באוניברסיטת תל אביב (CPIIS), תקפו את הבקר אשר מנהל את הנורות ומחובר במקביל גם לרשת הרדיו וגם לרשת המחשבים הביתית או הארגונית.
תהליך התקיפה שהדגימו החוקרים מתחיל בכך שבשלב ראשון מתבצעת השתלטות על נורה ושינוי של צבע ועוצמת התאורה שלה, במטרה לגרום לצרכן לחשוב שישנה בעיה בתפקוד הנורה. בשלב זה, הנורה מופיעה כ-"לא זמינה" באפליקציית השליטה, דבר שגורם לצרכן לנסות ולהגדירה מחדש - על ידי מחיקתה מהאפקליקציה וחיפוש שלה כדי להתקינה מחדש. בשלב זה, החוקרים ניצלו חולשת מימוש בפרוטוקול השליטה בנורות שבבקר, על מנת להשיג שליטה בבקר עצמו ודרכו להשיג גישה אל הרשת המחוברת אליו.
בצורה זו, תוקף יכול להחדיר את הנוזקה הרצויה על ידו, דרך הנורה, אל הבקר השולט בה ואל רשת המחשבים אליה מחובר הבקר. פיליפס וחברת Signify (בעלת המותג Philips Hue) אישרו את קיומן של החולשות והוציאו להן עדכון תוכנה המעודכן באופן אוטומטי. בצ'ק פוינט המליצו לכל המשתמשים לוודא כי המוצר שברשותם אכן מעודכן בעדכון האחרון דרך אפליקציות ניהול הנורות.
יניב בלמס, מנהל מחלקת מחקר הסייבר של צ'ק פוינט הסביר כי "הסכנות הטמונות במוצרי IoT מדוברות מזה מספר שנים והמחקר שלנו מוכיח עד כמה הסיכון ממשי גם כשמדובר במוצרים "פשוטים" דוגמת נורות, שכן המוצרים הללו מחוברים לרשת מרכזית שנמצאת בסיכון בהיעדר אבטחה מתאימה. ארגונים וצרכנים שמשתמשים במוצרים שכאלה נדרשים לוודא שהמוצרים מעודכנים בעדכון האבטחה המתקדם ביותר שיוצא וכן לבדוק לאלו רשתות בדיוק המוצרים הללו מחוברים". לדבריו, במציאות הנוכחית, של איומי הדור החמישי, כל מוצר שמתחבר לרשת יכול לשמש משתטח תקיפה על הרשת".
ג'ורג' ייאני מנהל הטכנלוגיות ב- Philips Hue מסר: "אנו מחוייבים לשמור על הפרטיות של המשתמשים שלנו ועושים כל שביכולתנו בכדי לוודא שהמוצרים בטוחים. אנו מודים לצ'ק פוינט על השיתוף האחראי בממצאים אשר אפשר לנו להתקין עדכוני אבטחה מתאימים שימנעו סיכון של צרכנים".