Cercetătorii de securitate au remarcat miercuri că o marcă populară de becuri inteligente are defecte care le-ar putea oferi hackerilor parole și alte informații.
O lucrare a examinat patru defecte ale celui mai bine vândut TP-Link Tapo L530E, care funcționează cu HomeKit.
Becul inteligent TP-Link poate oferi parole și multe altele
Divulgarea hârtiei defecte ale becului inteligent TP-Link Tapo L530E compatibil cu cloud vine de la cercetătorii de la Universitatea Catania și de la Universitatea din Londra, potrivit Revista Infosecuritate și alte surse.
TP-Link și-a construit arsenalul de produse compatibile HomeKit în 2022, inclusiv un bandă luminoasă nouă si toată gama Tapo.
Revista descrie constatările raportului Pe aici:
Cercetătorii au aplicat pașii lanțului de ucidere PETIoT pentru a efectua Evaluarea Vulnerabilității și Testarea Penetrației (VAPT). Ei au găsit patru bug-uri care ar putea avea un „impact dramatic”, potrivit lucrării:
- O eroare de severitate ridicată legată de lipsa autentificării cu aplicația pentru smartphone însoțitoare, ceea ce înseamnă că oricine se poate autentifica la aplicație pretinzând că este becul inteligent.
- O eroare de severitate ridicată legată de un secret prea scurt și codificat de către aplicația Tapo și becul inteligent, care este expus de fragmentele de cod rulate de aplicație și de becul inteligent.
- O vulnerabilitate de severitate medie legată de lipsa aleatoriei în timpul criptării simetrice.
- O vulnerabilitate de severitate medie care ar putea fi utilizată cu bug-ul de mai sus pentru a provoca refuzul serviciului.
Autentificare slabă
Foto: TP-Link
„Pe scurt, autentificarea nu este bine luată în considerare și confidențialitatea este insuficient atinsă prin măsurile criptografice implementate”, se spune în raport.
Hackerul ar putea accesa atât becul, cât și alte dispozitive Tapo asociate contului. Și ar putea obține și parola Wi-Fi a utilizatorului.
TP-Link va emite remedieri de firmware la un moment dat
Cercetătorii au trimis rezultatele către TP-Link din Taiwan, care a spus că va emite actualizări de firmware pentru a remedia problemele. Dar nu este clar când se va întâmpla asta.
„Aceste dispozitive de asistență și inteligente pot fi veriga slabă în mediul acasă de încredere; un cap de pont pentru actorii rău-intenționați pentru a obține apoi acces orizontal la alte dispozitive din spatele firewall-ului „securizat”, a menționat Andrew Bolster, manager senior de cercetare și dezvoltare a Synopsys pentru știința datelor.
„Pe măsură ce adăugăm din ce în ce mai multe dispozitive inteligente, fie că este vorba de frigidere, asistenți vocali, controlere de încălzire, aspiratoare etc., oportunitatea ca defecțiunile de securitate să se răspândească se extinde exponențial”, a adăugat el.