Bezpečnostní výzkumníci ve středu zaznamenali, že populární značka chytrých žárovek má nedostatky, které by mohly hackerům poskytnout hesla a další informace.
Článek zkoumal čtyři nedostatky nejprodávanějšího TP-Link Tapo L530E, který pracuje s HomeKit.
Chytrá žárovka TP-Link může prozradit hesla a další
Prozrazení papíru nedostatky v chytré žárovce TP-Link Tapo L530E s podporou cloudu pochází od výzkumníků z Catania University a University of London, podle Časopis Infosecurity a další zdroje.
Společnost TP-Link v roce 2022 vybudovala svůj arzenál zboží s podporou HomeKit, včetně nový světelný pás a celá sestava Tapo.
Časopis popsal zjištění zprávy tudy:
Výzkumníci použili kroky řetězce zabíjení PETIoT k provedení posouzení zranitelnosti a penetračního testování (VAPT). Našli čtyři chyby, které by podle listu mohly mít „dramatický dopad“:
- Velmi závažná chyba související s nedostatečnou autentizací s doprovodnou aplikací pro chytré telefony, což znamená, že se do aplikace může přihlásit kdokoli a vydávat se za chytrou žárovku.
- Velmi závažná chyba související s pevně zakódovaným a příliš krátkým tajemstvím sdíleným aplikací Tapo a inteligentní žárovkou, které je odhaleno fragmenty kódu spuštěnými aplikací a inteligentní žárovkou.
- Středně závažná chyba zabezpečení související s nedostatkem náhodnosti během symetrického šifrování.
- Středně závažná chyba zabezpečení, kterou lze s výše uvedenou chybou použít k odmítnutí služby.
Špatná autentizace
Foto: TP-Link
"Stručně řečeno, autentizace není dobře zohledněna a důvěrnost není dostatečně dosažena implementovanými kryptografickými opatřeními," uvádí zpráva.
Hacker mohl získat přístup jak k žárovce, tak k dalším zařízením Tapo spojeným s účtem. A také by mohli získat heslo uživatele k Wi-Fi.
TP-Link v určitém okamžiku vydá opravy firmwaru
Výzkumníci zaslali zjištění společnosti TP-Link na Tchaj-wanu, která uvedla, že vydá aktualizace firmwaru, aby problémy napravila. Kdy se tak stane, ale není jasné.
„Tato pomocná a chytrá zařízení mohou být slabým článkem důvěryhodného domácího prostředí; předmostí pro zlomyslné aktéry, aby pak získali horizontální přístup k dalším zařízením za „zabezpečeným“ firewallem,“ poznamenal Andrew Bolster, senior manažer výzkumu a vývoje Synopsys pro datovou vědu.
„S tím, jak přidáváme stále chytřejší zařízení, ať už jsou to ledničky, hlasové asistenty, ovladače topení, vysavače atd., exponenciálně roste možnost rozšíření bezpečnostních selhání,“ dodal.
