Pesquisadores de segurança observaram na quarta-feira que uma marca popular de lâmpada inteligente tem falhas que podem fornecer senhas e outras informações aos hackers.
Um artigo examinou quatro falhas no best-seller TP-Link Tapo L530E, que funciona com HomeKit.
Lâmpada inteligente TP-Link pode revelar senhas e muito mais
O jornal divulgando falhas na lâmpada inteligente TP-Link Tapo L530E habilitada para nuvem vem de pesquisadores da Universidade de Catania e da Universidade de Londres, de acordo com Revista Infosegurança e outras fontes.
A TP-Link construiu seu arsenal de produtos habilitados para HomeKit em 2022, incluindo um nova faixa de luz e a toda a programação do Tapo.
A revista descreveu as conclusões do relatório Por aqui:
Os pesquisadores aplicaram as etapas da cadeia de eliminação PETIoT para realizar Avaliação de Vulnerabilidade e Teste de Penetração (VAPT). Eles encontraram quatro bugs que poderiam ter um “impacto dramático”, de acordo com o jornal:
- Um bug de alta gravidade relacionado à falta de autenticação com o aplicativo de smartphone que o acompanha, o que significa que qualquer pessoa pode autenticar-se no aplicativo fingindo ser a lâmpada inteligente.
- Um bug de alta gravidade relacionado a um segredo codificado e muito curto compartilhado pelo aplicativo Tapo e pela lâmpada inteligente, que é exposto por fragmentos de código executados pelo aplicativo e pela lâmpada inteligente.
- Uma vulnerabilidade de gravidade média relacionada à falta de aleatoriedade durante a criptografia simétrica.
- Uma vulnerabilidade de gravidade média que pode ser usada com o bug acima para causar negação de serviço.
Autenticação deficiente
“Em suma, a autenticação não é bem contabilizada e a confidencialidade é insuficientemente alcançada pelas medidas criptográficas implementadas”, afirma o relatório.
O hacker poderia acessar a lâmpada e outros dispositivos Tapo associados à conta. E eles também poderiam obter a senha do Wi-Fi do usuário.
TP-Link emitirá correções de firmware em algum momento
Os pesquisadores enviaram as descobertas à TP-Link em Taiwan, que disse que emitirá atualizações de firmware para corrigir os problemas. Mas não está claro quando isso acontecerá.
“Esses dispositivos de assistência e inteligentes podem ser o elo mais fraco para um ambiente doméstico confiável; uma plataforma para atores mal-intencionados obterem acesso horizontal a outros dispositivos atrás do firewall ‘seguro’”, observou Andrew Bolster, gerente sênior de P&D para ciência de dados da Synopsys.
“À medida que adicionamos dispositivos cada vez mais inteligentes, sejam frigoríficos, assistentes de voz, controladores de aquecimento, aspiradores de pó, etc., a oportunidade de propagação de falhas de segurança aumenta exponencialmente”, acrescentou.