'Beveiliging van Philips Hue-lampen is niet op orde'
De beveiliging van de software die het mogelijk maakt de Philips Hue-lampen aan te sturen is onvoldoende beveiligd. De software maakt onder andere geen gebruik van versleutelde verbindingen.
Sophos wijst op een aantal beveiligingsgaten in de software voor de Hue-lampen. De Hue-API zou onvoldoende beveiligd zijn. Zo is de authentificatie van gebruikers niet op orde. Via een HTTP-verbinding hoeft alleen een op de bridge, die het mogelijk maakt de lampen aan te sturen, goedgekeurde gebruikersnaam te worden opgegeven om een commando te kunnen uitvoeren. Deze gebruikersnaam wordt echter gegenereerd aan de hand van de md5-hash van het mac-adres van gebruiker's iPhone. Dit adres is door hackers relatief eenvoudig te achterhalen.
Daarnaast blijkt de Hue-software geen gebruik te maken van versleutelde dataverbindingen. Gebruikers versturen opdrachten voor de lampen via een standaard HTTP-verbinding. De opdrachten kunnen hierdoor relatief eenvoudig worden onderschept, wat de privacy van gebruikers in gevaar brengt. Sophos stelt dat dit risico onnodig is, aangezien de langzame processor van de Hue-bridge dit wel degelijk aan kan.
