セキュリティ研究者らは水曜日、人気ブランドのスマート電球にはハッカーにパスワードやその他の情報を与える可能性のある欠陥があると指摘した。
HomeKit で動作するベストセラーの TP-Link Tapo L530E の 4 つの欠陥を調査した論文があります。
TP-Link スマート電球はパスワードなどを漏らす可能性があります
紙の暴露 クラウド対応 TP-Link Tapo L530E スマート電球の欠陥 によると、カターニア大学とロンドン大学の研究者らによるものです。 情報セキュリティマガジン および他の情報源。
TP-Link は、2022 年に HomeKit 対応製品の武器庫を構築しました。 新しいライトストリップ そしてその Tapoの全ラインナップ.
雑誌に記載されていたのは 報告書の調査結果 こちらです:
研究者らは、PETIoT キル チェーンの手順を適用して、脆弱性評価および侵入テスト (VAPT) を実行しました。 論文によると、彼らは「劇的な影響」をもたらす可能性のある4つのバグを発見したという。
- 付属のスマートフォン アプリでの認証の欠如に関連する重大度の高いバグ。つまり、誰でもスマート電球を装ったアプリで認証できる可能性があります。
- Tapo アプリとスマート電球によって共有されるハードコードされた短すぎるシークレットに関連する重大度の高いバグ。アプリとスマート電球によって実行されるコードのフラグメントによって公開されます。
- 対称暗号化時のランダム性の欠如に関連する重大度が中程度の脆弱性。
- 重大度が中程度の脆弱性。上記のバグと併用されてサービス妨害が発生する可能性があります。
不十分な認証
![TPリンク 現在 HomeKit でどのスマート電球を使用しているかを確認するとよいでしょう。](/f/f2990693d7f2ea557d97546b15b99988.jpeg)
写真:TP-Link
「要するに、認証が十分に考慮されておらず、実装された暗号化手段によって機密性が十分に達成されていない」と報告書は述べている。
ハッカーは、アカウントに関連付けられている電球と他の Tapo デバイスの両方にアクセスする可能性があります。 また、ユーザーの Wi-Fi パスワードも取得できる可能性があります。
TP-Link は、ある時点でファームウェア修正を発行する予定です
研究者らは調査結果を台湾のTP-Linkに送信し、問題を修正するためのファームウェアアップデートを発行すると発表した。 しかしそれがいつ起こるかは明らかではない。
「これらの補助的で賢いデバイスは、信頼できる家庭環境への弱点となる可能性があります。 悪意のある攻撃者が「安全な」ファイアウォールの背後にある他のデバイスに水平アクセスするための橋頭堡となる」と、シノプシスのデータ サイエンス担当シニア R&D マネージャーの Andrew Bolster 氏は述べています。
「冷蔵庫、音声アシスタント、暖房コントローラー、掃除機など、スマートデバイスがますます追加されるにつれ、セキュリティ障害が広がる機会は飛躍的に拡大します。」と同氏は付け加えた。