Sicherheitsforscher stellten am Mittwoch fest, dass eine beliebte Marke intelligenter Glühbirnen Schwachstellen aufweist, die Hackern Passwörter und andere Informationen verschaffen könnten.
In einem Artikel wurden vier Mängel im Bestseller TP-Link Tapo L530E untersucht, der mit HomeKit funktioniert.
Die intelligente Glühbirne von TP-Link kann Passwörter und mehr preisgeben
Das Papier enthüllt Mängel in der Cloud-fähigen intelligenten Glühbirne TP-Link Tapo L530E stammt laut Angaben von Forschern der Universität Catania und der University of London Infosecurity-Magazin und andere Quellen.
TP-Link hat im Jahr 2022 sein Arsenal an HomeKit-fähigen Waren aufgebaut, darunter a neues Lichtband und das gesamte Tapo-Reihe.
Das Magazin beschrieb die Ergebnisse des Berichts Hier entlang:
Die Forscher wandten die Schritte der PETIoT-Kill-Chain an, um Vulnerability Assessment and Penetration Testing (VAPT) durchzuführen. Sie fanden vier Fehler, die laut der Zeitung „dramatische Auswirkungen“ haben könnten:
- Ein schwerwiegender Fehler im Zusammenhang mit einer fehlenden Authentifizierung mit der zugehörigen Smartphone-App, was bedeutet, dass sich jeder bei der App authentifizieren kann, indem er vorgibt, die intelligente Glühbirne zu sein.
- Ein Fehler mit hohem Schweregrad, der mit einem fest codierten und zu kurzen Geheimnis zusammenhängt, das von der Tapo-App und der Smart Bulb geteilt wird und durch Codefragmente offengelegt wird, die von der App und der Smart Bulb ausgeführt werden.
- Eine Sicherheitslücke mittlerer Schwere im Zusammenhang mit mangelnder Zufälligkeit bei der symmetrischen Verschlüsselung.
- Eine Schwachstelle mit mittlerem Schweregrad, die zusammen mit dem oben genannten Fehler dazu verwendet werden könnte, einen Denial-of-Service auszulösen.
Schlechte Authentifizierung
Foto: TP-Link
„Kurz gesagt, die Authentifizierung wird nicht ausreichend berücksichtigt und die Vertraulichkeit wird durch die implementierten kryptografischen Maßnahmen nur unzureichend gewährleistet“, heißt es in dem Bericht.
Der Hacker konnte sowohl auf die Glühbirne als auch auf andere mit dem Konto verknüpfte Tapo-Geräte zugreifen. Und sie könnten auch an das WLAN-Passwort des Benutzers gelangen.
TP-Link wird irgendwann Firmware-Korrekturen veröffentlichen
Die Forscher schickten die Ergebnisse an TP-Link in Taiwan, das ankündigte, Firmware-Updates herauszugeben, um die Probleme zu beheben. Aber es ist nicht klar, wann das passieren wird.
„Diese unterstützenden und cleveren Geräte können das schwache Glied in der vertrauten häuslichen Umgebung sein; „Ein Brückenkopf für böswillige Akteure, um dann horizontalen Zugriff auf andere Geräte hinter der ‚sicheren‘ Firewall zu erhalten“, bemerkte Andrew Bolster, Senior R&D Manager für Datenwissenschaft bei Synopsys.
„Da wir immer intelligentere Geräte hinzufügen, seien es Kühlschränke, Sprachassistenten, Heizungsregler, Staubsauger usw., steigt die Möglichkeit, dass sich Sicherheitsmängel ausbreiten, exponentiell“, fügte er hinzu.
