Изследователи по сигурността отбелязаха в сряда, че популярна марка интелигентна електрическа крушка има недостатъци, които могат да дадат на хакерите пароли и друга информация.
Документ изследва четири недостатъка в най-продавания TP-Link Tapo L530E, който работи с HomeKit.
Интелигентната електрическа крушка на TP-Link може да разкрие пароли и други
Разкриването на хартията недостатъци в облачната интелигентна крушка TP-Link Tapo L530E идва от изследователи от университета в Катания и Лондонския университет, според Списание Infosecurity и други източници.
TP-Link изгради своя арсенал от стоки с активиран HomeKit през 2022 г., включително нова светлинна лента и на цялата гама на Tapo.
Описаното списание констатациите на доклада насам:
Изследователите са приложили стъпките на веригата за убиване PETIoT, за да извършат оценка на уязвимостта и тест за проникване (VAPT). Те откриха четири грешки, които биха могли да имат „драматично въздействие“, според вестника:
- Грешка с висока степен на сериозност, свързана с липса на удостоверяване с придружаващото приложение за смартфон, което означава, че всеки може да се удостовери в приложението, представяйки се за интелигентната крушка.
- Грешка с висока степен на сериозност, свързана с твърдо кодирана и твърде кратка тайна, споделена от приложението Tapo и интелигентната крушка, която е изложена от фрагменти на код, изпълнявани от приложението и интелигентната крушка.
- Уязвимост със средна тежест, свързана с липса на произволност по време на симетрично криптиране.
- Уязвимост със средна тежест, която може да се използва с горния бъг, за да причини отказ на услуга.
Лоша автентификация
Снимка: TP-Link
„Накратко, удостоверяването не е отчетено добре и поверителността не е постигната в достатъчна степен чрез внедрените криптографски мерки“, се казва в доклада.
Хакерът може да получи достъп както до крушката, така и до други Tapo устройства, свързани с акаунта. И те също могат да получат паролата за Wi-Fi на потребителя.
TP-Link ще издаде корекции на фърмуера в даден момент
Изследователите изпратиха констатациите на TP-Link в Тайван, който каза, че ще издаде актуализации на фърмуера, за да коригира проблемите. Но не е ясно кога ще стане това.
„Тези помощни и умни устройства могат да бъдат слабото звено в надеждната домашна среда; плацдарм за злонамерени участници, за да получат след това хоризонтален достъп до други устройства зад „сигурната“ защитна стена“, отбеляза Андрю Болстър, старши мениджър за научноизследователска и развойна дейност на Synopsys.
„Тъй като добавяме все по-интелигентни устройства, било то хладилници, гласови асистенти, контролери за отопление, прахосмукачки и т.н., възможността за разпространение на грешки в сигурността се разширява експоненциално“, добави той.