Sikkerhetsforskere bemerket onsdag at et populært merke av smarte lyspærer har feil som kan gi hackere passord og annen informasjon.
En artikkel undersøkte fire feil i den bestselgende TP-Link Tapo L530E, som fungerer med HomeKit.
TP-Link smart lyspære kan gi bort passord og mer
Avisen røper feil i den skyaktiverte TP-Link Tapo L530E smartpæren kommer fra forskere ved Catania University og University of London, ifølge Infosikkerhetsmagasinet og andre kilder.
TP-Link har bygget opp sitt arsenal av HomeKit-aktiverte varer i 2022, inkludert en ny lyslist og hele Tapo-serien.
Magasinet beskrev rapportens funn denne måten:
Forskerne brukte trinnene i PETIoT-drepekjeden for å utføre sårbarhetsvurdering og penetrasjonstesting (VAPT). De fant fire feil som kunne ha en "dramatisk innvirkning", ifølge papiret:
- En feil med høy alvorlighetsgrad relatert til mangel på autentisering med den medfølgende smarttelefonappen, noe som betyr at alle kan autentisere seg til appen og utgi seg for å være den smarte pæren.
- En feil med høy alvorlighetsgrad knyttet til en hardkodet og for kort hemmelighet som deles av Tapo-appen og smartpæren, som avsløres av kodefragmenter som drives av appen og smartpæren.
- En middels alvorlig sårbarhet knyttet til mangel på tilfeldighet under symmetrisk kryptering.
- En middels alvorlig sårbarhet som kan brukes med feilen ovenfor for å forårsake tjenestenekt.
Dårlig autentisering
Foto: TP-Link
"Kort sagt, autentisering er ikke godt redegjort for og konfidensialitet er utilstrekkelig oppnådd av de implementerte kryptografiske tiltakene," heter det i rapporten.
Hackeren kunne få tilgang til både pæren og andre Tapo-enheter knyttet til kontoen. Og de kan også få brukerens Wi-Fi-passord.
TP-Link vil utstede fastvarerettinger på et tidspunkt
Forskerne sendte funnene til TP-Link i Taiwan, som sa at de vil utstede fastvareoppdateringer for å fikse problemene. Men det er ikke klart når det vil skje.
«Disse hjelpemidler og smarte enheter kan være det svake leddet inn i det pålitelige hjemmemiljøet; et strandhode for ondsinnede aktører for deretter å få horisontal tilgang til andre enheter bak den "sikre" brannmuren," bemerket Synopsys senior R&D-sjef for datavitenskap, Andrew Bolster.
"Når vi legger til stadig flere smarte enheter, det være seg kjøleskap, stemmeassistenter, varmekontrollere, støvsugere, etc, utvides muligheten for sikkerhetssvikt å spre seg eksponentielt," la han til.
