Biztonsági kutatók szerdán megállapították, hogy egy népszerű intelligens izzómárka olyan hibákkal rendelkezik, amelyek jelszavakat és egyéb információkat adhatnak a hackereknek.
Egy cikk négy hibáját vizsgálta a HomeKittel működő, legkelendőbb TP-Link Tapo L530E-ben.
A TP-Link intelligens izzók jelszavakat és még sok mást adhatnak
A lap elárulja hibák a felhő-kompatibilis TP-Link Tapo L530E intelligens izzóban a Catania Egyetem és a Londoni Egyetem kutatóitól származik Infobiztonsági Magazin és egyéb forrásokból.
A TP-Link 2022-ben felépítette a HomeKit-kompatibilis áruk arzenálját, beleértve egy új fénycsík és a teljes Tapo felállás.
A magazin leírta a jelentés megállapításait Ily módon:
A kutatók a PETIoT megölési lánc lépéseit alkalmazták a Vulnerability Assessment and Penetration Testing (VAPT) végrehajtásához. Négy hibát találtak, amelyeknek „drámai hatása” lehet a lap szerint:
- Súlyos hiba, amely a kísérő okostelefon-alkalmazás hitelesítésének hiányához kapcsolódik, ami azt jelenti, hogy bárki hitelesíthet az alkalmazásban, úgy, mintha az intelligens izzó lenne.
- Súlyos hiba, amely a Tapo alkalmazás és az intelligens izzó által megosztott, keményen kódolt és túl rövid titokhoz kapcsolódik, amelyet az alkalmazás és az intelligens izzó által futtatott kódrészletek fednek fel.
- Közepes súlyosságú biztonsági rés, amely a szimmetrikus titkosítás során tapasztalt véletlenszerűség hiányával kapcsolatos.
- Közepes súlyosságú biztonsági rés, amely a fenti hibával együtt szolgáltatásmegtagadást okozhat.
Gyenge hitelesítés
Fotó: TP-Link
"Röviden: a hitelesítést nem veszik megfelelően figyelembe, és a titkosítást nem biztosítják kellőképpen a végrehajtott kriptográfiai intézkedések" - áll a jelentésben.
A hacker hozzáférhetett az izzóhoz és a fiókhoz társított egyéb Tapo-eszközökhöz is. És megkaphatják a felhasználó Wi-Fi jelszavát is.
A TP-Link valamikor firmware-javításokat fog kiadni
A kutatók elküldték az eredményeket a tajvani TP-Linknek, amely azt közölte, hogy firmware-frissítéseket ad ki a problémák megoldására. De nem világos, hogy ez mikor fog megtörténni.
„Ezek a segítő és okos eszközök gyenge láncszemei lehetnek a megbízható otthoni környezetnek; a rosszindulatú szereplők partvonala, hogy aztán vízszintesen hozzáférhessenek más eszközökhöz a „biztonságos” tűzfal mögött” – jegyezte meg Andrew Bolster, a Synopsys adattudományért felelős vezető kutatás-fejlesztési menedzsere.
„Ahogy egyre több intelligens eszközt adunk hozzá, legyen szó hűtőről, hangasszisztensről, fűtésvezérlőről, porszívóról stb., a biztonsági hibák terjedésének lehetősége exponenciálisan bővül” – tette hozzá.