Hueblog: Philips Hue: Update im Januar hat Sicherheitslücke halb geschlossen

Philips Hue: Update im Januar hat Sicherheitslücke halb geschlossen

Jetzt Firmware der Bridge überprüfen

Sind das jetzt gute oder schlechte Nachrichten? Die Sicherheits-Experten von Check Point haben eine Lücke im Hue-System entdeckt, mit dem man sogar auf Computer zugreifen kann, die sich gemeinsam im Netzwerk mit der Hue Bridge befinden. Die Sicherheitslücke ist mittlerweile aber von Signify behoben worden – zumindest zum Teil.


Über die Lücke im System wurde Signify, der Hersteller von Philips Hue, bereits im November 2019 informiert. Die technische Erklärung der Sicherheitslücke wurde erst jetzt veröffentlicht, damit das am 13. Januar veröffentlichte Firmware-Update an die Nutzer verteilt werden kann.

Schaut am besten in den Einstellungen der Hue-App nach, ob die Firmware eurer Bridge aktuell ist. Mit der Version 1935144040 wurde die Sicherheitslücke behoben.

Um diese Sicherheitslücke geht es

Der grundlegende Fehler ist im ZigBee-Protokoll zu finden, auf das Philips Hue aufbaut – genau wie zahlreiche andere Hersteller. Mit einem Radio-Transmitter und einem Computer in Reichweite des ZigBee-Systems kann man auch jetzt noch auf einzelne Lampen zugreifen und diese „fernsteuern“. Genau an diesem Punkt hat die weitaus größere Sicherheitslücke angesetzt, die von den Experten wie folgt erklärt wird:

  • Der Hacker kontrolliert die Farbe oder die Helligkeit der Hue-Lampe, um die Benutzer zu täuschen, damit sie glauben, die Lampe habe eine Störung. Die Hue-Lampe erscheint in der App des Benutzers als ’nicht erreichbar‘, so dass er versuchen wird, sie zurückzusetzen.
  • Die einzige Möglichkeit, die Hue-Lampe zurückzusetzen, besteht darin, sie aus der Anwendung zu löschen und dann die Bridge anzuweisen, die Lampe wieder zu finden.
  • Die Bridge entdeckt die kompromittierte Hue-Lampe und der Benutzer fügt sie wieder in sein Netzwerk ein.
  • Die von Hackern kontrollierte Lampe mit aktualisierter Firmware nutzt dann die Schwachstellen des ZigBee-Protokolls, um einen Heap-basierten Pufferüberlauf auf der Bridge auszulösen, indem sie eine große Datenmenge an sie sendet. Diese Daten ermöglichen es dem Hacker auch, Malware auf der Bridge zu installieren – die wiederum mit dem Heimnetzwerk verbunden ist.
  • Die Malware verbindet sich wieder mit dem Hacker und kann über eine bekannte Schwachstelle (wie z.B. EternalBlue) von der Bridge aus in das Ziel-IP-Netzwerk eindringen, um dort Schaden anzurichten.

Mit dem Firmware-Update auf der Hue Bridge wurde nun zunächst einmal verhindert, dass die Sicherheitslücke weiterhin komplett offen steht und die Bridge als Einfallstor für das heimische Netzwerk dienen kann.

Für die ursprüngliche Sicherheitslücke der Lampen soll es noch Ende Februar, spätestens aber Anfang März ein Firmware-Update geben. Leuchtmittel mit aktueller Hardware, gemeint sind vermutlich die Modelle mit dem zusätzlichen Bluetooth-Chip, sind laut Signify nicht von der Sicherheitslücke betroffen.


In den letzten Jahren habe ich mich zu einem echten Experten in Sachen Hue & HomeKit entwickelt. Mittlerweile habe ich über 50 Lampen und zahlreiche Schalter im Einsatz. In meinem kleinen Blog teile ich meine Erfahrungen gerne mit euch.

Kommentare 8 Antworten

  1. „Die technische Erklärung der Sicherheitslücke wurde erst jetzt veröffentlicht, damit das am 13. Januar veröffentlichte Firmware-Update an die Nutzer verteilt werden kann.“

    Den Satz bzw. Zusammenhang verstehe ich irgendwie nicht.

    1. Wenn die Erklärungen zur Lücke vorab veröffentlicht werden ohne dass es ein Update gibt, haben Hacker die Möglichkeit diese noch auszunutzen und wissen dann genau was sie machen müssen.

      Es ist daher i.d.R. immer so, dass man die Lücke schließt (durch Updates) und dann erst hinterher sagt, was gefunden wurde.

  2. Hi. Ich steuer die Hue Lampen über einen Echo Plus 2. Generation. Besteht hier auch Gefahr? Ohne Hue-bridge kann ich die Lampen jedoch nicht updaten. Hat hier jemand eine Lösung? Danke

  3. Bei mir funktioniert seit diesem Update einer meiner drei Hue Motion Sensoren nicht mehr richtig. Nachdem der Austausch gegen einen neuen Sensor nichts gebracht hat, wurde mir heute vom Kundenservice versichert, dass nächste Woche ein weiteres Update ausgerollt werden soll, um unter anderem genau dieses Problem zu beheben. Der Fehler ist bei Philips also bekannt. Wieso die anderen beiden Sensoren ohne Probleme funktionieren konnte man mir allerdings nicht wirklich erklären. Hat hier jemand ähnliche Probleme seit dem Update?

  4. Leider verbindet mein Philips ambilight TV sich nicht mehr mit der Hue Bridge, kann es mit der jetzigen Lage zusammenhängen?
    TV-Gerät, Router und Hue Bridge, habe ich schon komplett zurücksetzt , alles leider ohne Erfolg! Der Tv kann die Hue Bridge einfach nicht finden!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.