Ερευνητές ασφαλείας σημείωσαν την Τετάρτη ότι μια δημοφιλής μάρκα έξυπνων λαμπτήρων έχει ελαττώματα που θα μπορούσαν να δώσουν στους χάκερ κωδικούς πρόσβασης και άλλες πληροφορίες.
Μια εργασία εξέτασε τέσσερα ελαττώματα στο TP-Link Tapo L530E με τις μεγαλύτερες πωλήσεις, το οποίο λειτουργεί με το HomeKit.
Ο έξυπνος λαμπτήρας TP-Link μπορεί να δώσει κωδικούς πρόσβασης και πολλά άλλα
Το χαρτί αποκαλύπτεται ελαττώματα στον έξυπνο λαμπτήρα TP-Link Tapo L530E με δυνατότητα cloud προέρχεται από ερευνητές του Πανεπιστημίου της Κατάνια και του Πανεπιστημίου του Λονδίνου, σύμφωνα με Περιοδικό Infosecurity και άλλες πηγές.
Η TP-Link έχει δημιουργήσει το οπλοστάσιό της με προϊόντα με δυνατότητα HomeKit το 2022, συμπεριλαμβανομένου ενός νέα λωρίδα φωτός και το ολόκληρη η σειρά Tapo.
Το περιοδικό περιέγραψε πορίσματα της έκθεσης με αυτόν τον τρόπο:
Οι ερευνητές εφάρμοσαν τα βήματα της αλυσίδας θανάτωσης PETIoT για να πραγματοποιήσουν την αξιολόγηση ευπάθειας και τη δοκιμή διείσδυσης (VAPT). Βρήκαν τέσσερα σφάλματα που θα μπορούσαν να έχουν «δραματικό αντίκτυπο», σύμφωνα με την εφημερίδα:
- Ένα σφάλμα υψηλής σοβαρότητας που σχετίζεται με την έλλειψη ελέγχου ταυτότητας με τη συνοδευτική εφαρμογή smartphone, που σημαίνει ότι ο καθένας μπορεί να πιστοποιήσει την ταυτότητα στην εφαρμογή προσποιούμενος ότι είναι ο έξυπνος λαμπτήρας.
- Ένα σφάλμα υψηλής σοβαρότητας που σχετίζεται με ένα σκληρά κωδικοποιημένο και πολύ σύντομο μυστικό που μοιράζεται η εφαρμογή Tapo και ο έξυπνος λαμπτήρας, το οποίο εκτίθεται από θραύσματα κώδικα που εκτελούνται από την εφαρμογή και τον έξυπνο λαμπτήρα.
- Μια ευπάθεια μέσης σοβαρότητας που σχετίζεται με την έλλειψη τυχαίας κατά τη συμμετρική κρυπτογράφηση.
- Μια ευπάθεια μέσης σοβαρότητας που θα μπορούσε να χρησιμοποιηθεί με το παραπάνω σφάλμα για να προκαλέσει άρνηση υπηρεσίας.
Κακή πιστοποίηση
Φωτογραφία: TP-Link
"Εν ολίγοις, ο έλεγχος ταυτότητας δεν λαμβάνεται υπόψη και η εμπιστευτικότητα δεν επιτυγχάνεται επαρκώς από τα εφαρμοσμένα κρυπτογραφικά μέτρα", ανέφερε η έκθεση.
Ο χάκερ μπορούσε να έχει πρόσβαση τόσο στη λάμπα όσο και σε άλλες συσκευές Tapo που σχετίζονται με τον λογαριασμό. Και θα μπορούσαν επίσης να λάβουν τον κωδικό πρόσβασης Wi-Fi του χρήστη.
Το TP-Link θα εκδώσει διορθώσεις υλικολογισμικού κάποια στιγμή
Οι ερευνητές έστειλαν τα ευρήματα στην TP-Link στην Ταϊβάν, η οποία είπε ότι θα εκδώσει ενημερώσεις υλικολογισμικού για να διορθώσει τα προβλήματα. Αλλά δεν είναι ξεκάθαρο πότε θα συμβεί αυτό.
«Αυτές οι βοηθητικές και έξυπνες συσκευές μπορούν να αποτελέσουν τον αδύναμο κρίκο στο αξιόπιστο οικιακό περιβάλλον. μια ακτή για κακόβουλους ηθοποιούς που θα αποκτήσουν στη συνέχεια οριζόντια πρόσβαση σε άλλες συσκευές πίσω από το «ασφαλές» τείχος προστασίας», σημείωσε ο ανώτερος διευθυντής Ε&Α της Synopsys για την επιστήμη δεδομένων, Andrew Bolster.
«Καθώς προσθέτουμε ολοένα και πιο έξυπνες συσκευές, είτε πρόκειται για ψυγεία, φωνητικούς βοηθούς, ελεγκτές θέρμανσης, ηλεκτρικές σκούπες κ.λπ., η ευκαιρία για αστοχίες ασφαλείας να εξαπλωθούν επεκτείνεται εκθετικά», πρόσθεσε.
