全球網路安全解決方案廠商Check Point Software Technologies Ltd.威脅情報部門 Check Point Research 今日揭露智慧照明的漏洞，駭客可利用此漏洞接管智慧燈泡及其橋接器，進而將勒索軟體或其他惡意軟體傳播到企業和家庭網路。 

Check Point研究人員展示了攻擊者如何透過智慧燈泡及其橋接器，對物聯網中的家庭、企業甚至是智慧城市中的傳統電腦網路發起攻擊，並重點研究了市場領先的飛利浦Hue智慧燈泡和橋接器，進而發現其中的漏洞CVE-2020-6007，允許攻擊者透過攻擊使用ZigBee低功耗無線協定來控制物聯網的設備從遠端侵入網路。

2017年對ZigBee控制智慧燈泡安全性的一項分析顯示，研究人員能夠控制連網Hue燈泡，安裝惡意韌體進而傳播至相近智慧燈泡網路。利用這一遺留漏洞，Check Point更進一步使用 Hue 燈泡作為平台來接管燈泡的橋接器，最終攻擊目標的電腦網路。新一代 Hue 燈泡現已修復此漏洞。

Check Point Research網路研究總監Yaniv Balmas表示：「許多人都知道物聯網設備可能帶來安全上的風險，但這項研究表明，即使是最不起眼的設備（例如燈泡）也會被駭客用於接管網路或惡意軟體植入。因此，企業和個人必須使用最新修補程式更新設備，並將其與網路上的其他設備隔離，以限制惡意軟體的潛在傳播，從而保護自身免於潛在攻擊的威脅。在複雜的第五代攻擊環境中，我們不能忽視任何連網設備的安全性。」

這項研究在特拉維夫大學 Check Point 資訊安全研究所 （CPIIS） 的幫助下完成，並於 2019 年 11 月向飛利浦和 Signify（Philips Hue品牌母公司）揭露。Signify 確認其產品存在漏洞後開發了修補程式（韌體1935144040），該修補程式已透過自動更新升級相關產品。Check Point建議此產品使用者主動檢查是否已自動更新，以確保產品升級至最新韌體。 

Philips Hue技術長George Yianni 表示：「我們承諾盡一切努力確保產品安全，保護使用者隱私不受侵犯。我們衷心感謝Check Point的揭露及合作，這使我們能及時推出必要的修補程式進而避免使用者可能面臨的風險。」