Tietoturvatutkijat havaitsivat keskiviikkona, että suositussa älylampussa on puutteita, jotka voivat antaa hakkereille salasanoja ja muuta tietoa.
Paperi tarkasteli neljää virhettä myydyimmässä TP-Link Tapo L530E: ssä, joka toimii HomeKitin kanssa.
TP-Link-älyhehkulamppu voi antaa salasanoja ja paljon muuta
Lehti paljastaa puutteita pilvikäyttöisessä TP-Link Tapo L530E -älypolttimossa tulee Catanian yliopiston ja Lontoon yliopiston tutkijoilta Tietoturvalehti ja muista lähteistä.
TP-Link on rakentanut HomeKit-yhteensopivien tuotteiden arsenaalinsa vuonna 2022, mukaan lukien uusi valonauha ja koko Tapon kokoonpano.
Lehti kuvaili raportin havainnot tällä tavalla:
Tutkijat käyttivät PETIoT-tappamisketjun vaiheita Vulnerability Assessment and Penetration Testingin (VAPT) suorittamiseen. He löysivät neljä vikaa, joilla voi olla "dramaattinen vaikutus" paperin mukaan:
- Vakava bugi, joka liittyy todennuksen puutteeseen mukana tulevalla älypuhelinsovelluksella, mikä tarkoittaa, että kuka tahansa voi todentaa sovelluksen, joka teeskentelee olevansa älypolttimo.
- Vakava bugi, joka liittyy Tapo-sovelluksen ja älypolttimoiden jakamaan kovakoodattuihin ja liian lyhyeen salaisuuksiin, jotka paljastuvat sovelluksen ja älypolttimon suorittamien koodinpätkien avulla.
- Keskivakava haavoittuvuus, joka liittyy satunnaisuuden puutteeseen symmetrisen salauksen aikana.
- Keskivakava haavoittuvuus, jota voidaan käyttää yllä olevan bugin kanssa palveluneston aiheuttamiseen.
Huono todennus
Kuva: TP-Link
"Lyhyesti sanottuna todennusta ei oteta hyvin huomioon ja luottamuksellisuutta ei saavuteta riittävästi toteutetuilla salaustoimenpiteillä", raportissa todetaan.
Hakkeri pääsi käsiksi sekä lamppuun että muihin tiliin liittyviin Tapo-laitteisiin. Ja he voivat saada myös käyttäjän Wi-Fi-salasanan.
TP-Link julkaisee laiteohjelmiston korjauksia jossain vaiheessa
Tutkijat lähettivät havainnot TP-Linkille Taiwanissa, joka ilmoitti julkaisevansa laiteohjelmistopäivityksiä ongelmien korjaamiseksi. Mutta ei ole selvää, milloin se tapahtuu.
”Nämä avustavat ja älykkäät laitteet voivat olla heikko lenkki luotettuun kotiympäristöön; rantapää, jossa pahantahtoiset toimijat pääsevät sitten horisontaalisesti muihin laitteisiin "suojatun" palomuurin takana", totesi Synopsysin tietotieteen vanhempi T&K-päällikkö Andrew Bolster.
"Kun lisäämme yhä enemmän älykkäitä laitteita, olipa kyseessä jääkaapit, puheavustajat, lämmityksensäätimet, pölynimurit jne., mahdollisuus tietoturvahäiriöiden leviämiseen laajenee eksponentiaalisesti", hän lisäsi.
