सुरक्षा शोधकर्ताओं ने बुधवार को नोट किया कि एक लोकप्रिय ब्रांड के स्मार्ट लाइट बल्ब में खामियां हैं जो हैकर्स को पासवर्ड और अन्य जानकारी दे सकती हैं।
एक पेपर ने सबसे ज्यादा बिकने वाले टीपी-लिंक टैपो एल530ई में चार खामियों की जांच की, जो होमकिट के साथ काम करता है।
टीपी-लिंक स्मार्ट लाइट बल्ब पासवर्ड और बहुत कुछ बता सकता है
खुलासा करने वाला पेपर क्लाउड-सक्षम टीपी-लिंक टैपो L530E स्मार्ट बल्ब में खामियाँ केटेनिया विश्वविद्यालय और लंदन विश्वविद्यालय के शोधकर्ताओं के अनुसार इन्फोसिक्योरिटी पत्रिका और अन्य स्रोत।
टीपी-लिंक ने 2022 में होमकिट-सक्षम सामानों का अपना शस्त्रागार तैयार किया है, जिसमें एक भी शामिल है नई प्रकाश पट्टी और यह संपूर्ण टैपो लाइनअप.
पत्रिका ने वर्णन किया है रिपोर्ट के निष्कर्ष इस तरह:
शोधकर्ताओं ने भेद्यता मूल्यांकन और प्रवेश परीक्षण (VAPT) करने के लिए PETIoT किल चेन के चरणों को लागू किया। पेपर के अनुसार उन्हें चार बग मिले जो "नाटकीय प्रभाव" डाल सकते थे:
- स्मार्टफोन ऐप के साथ प्रमाणीकरण की कमी से संबंधित एक उच्च गंभीरता वाला बग, जिसका अर्थ है कि कोई भी स्मार्ट बल्ब होने का दिखावा करके ऐप को प्रमाणित कर सकता है।
- टैपो ऐप और स्मार्ट बल्ब द्वारा साझा किए गए हार्ड-कोडेड और बहुत छोटे रहस्य से संबंधित एक उच्च गंभीरता वाला बग, जो ऐप और स्मार्ट बल्ब द्वारा चलाए गए कोड अंशों द्वारा उजागर होता है।
- सममित एन्क्रिप्शन के दौरान यादृच्छिकता की कमी से संबंधित एक मध्यम गंभीरता की भेद्यता।
- एक मध्यम गंभीरता की भेद्यता जिसका उपयोग उपरोक्त बग के साथ सेवा से इनकार करने के लिए किया जा सकता है।
ख़राब प्रमाणीकरण
रिपोर्ट में कहा गया है, "संक्षेप में, प्रमाणीकरण का अच्छी तरह से ध्यान नहीं रखा गया है और कार्यान्वित क्रिप्टोग्राफ़िक उपायों द्वारा गोपनीयता अपर्याप्त रूप से हासिल की गई है।"
हैकर बल्ब और खाते से जुड़े अन्य टैपो उपकरणों तक पहुंच सकता है। और वे उपयोगकर्ता का वाई-फाई पासवर्ड भी प्राप्त कर सकते हैं।
टीपी-लिंक किसी बिंदु पर फर्मवेयर सुधार जारी करेगा
शोधकर्ताओं ने ताइवान में टीपी-लिंक को निष्कर्ष भेजे, जिसमें कहा गया कि वह समस्याओं को ठीक करने के लिए फर्मवेयर अपडेट जारी करेगा। लेकिन यह स्पष्ट नहीं है कि ऐसा कब होगा.
“ये सहायक और चतुर उपकरण विश्वसनीय घरेलू वातावरण की कमजोर कड़ी हो सकते हैं; दुर्भावनापूर्ण अभिनेताओं के लिए 'सुरक्षित' फ़ायरवॉल के पीछे अन्य उपकरणों तक क्षैतिज पहुंच प्राप्त करने के लिए एक समुद्र तट,' डेटा विज्ञान के लिए सिनोप्सिस के वरिष्ठ आर एंड डी प्रबंधक, एंड्रयू बोल्स्टर ने कहा।
उन्होंने कहा, "जैसे-जैसे हम तेजी से स्मार्ट डिवाइस जोड़ रहे हैं, चाहे वह फ्रिज, वॉयस असिस्टेंट, हीटिंग कंट्रोलर, वैक्यूम क्लीनर इत्यादि हों, सुरक्षा विफलताओं के फैलने का अवसर तेजी से बढ़ता है।"