Bezpečnostní výskumníci v stredu zaznamenali, že populárna značka inteligentných žiaroviek má nedostatky, ktoré by mohli hackerom poskytnúť heslá a ďalšie informácie.
Článok skúmal štyri nedostatky najpredávanejšieho TP-Link Tapo L530E, ktorý pracuje s HomeKit.
Inteligentná žiarovka TP-Link môže prezradiť heslá a ďalšie
Prezradenie papiera nedostatky v inteligentnej žiarovke TP-Link Tapo L530E s podporou cloudu pochádza od výskumníkov z Catania University a University of London Časopis Infosecurity a iné zdroje.
Spoločnosť TP-Link v roku 2022 vybudovala svoj arzenál produktov s podporou HomeKit, vrátane nový svetelný pás a celá zostava Tapo.
Opísal časopis zistenia správy tadiaľto:
Výskumníci použili kroky reťazca zabíjania PETIoT na vykonanie hodnotenia zraniteľnosti a penetračného testovania (VAPT). Našli štyri chyby, ktoré by mohli mať „dramatický dopad“ podľa novín:
- Veľmi závažná chyba súvisiaca s nedostatočnou autentifikáciou so sprievodnou aplikáciou pre smartfóny, čo znamená, že ktokoľvek sa môže autentifikovať v aplikácii, ktorá sa vydáva za inteligentnú žiarovku.
- Chyba s vysokou závažnosťou súvisiaca s pevne zakódovaným a príliš krátkym tajomstvom zdieľaným aplikáciou Tapo a inteligentnou žiarovkou, ktoré je odhalené fragmentmi kódu spustenými aplikáciou a inteligentnou žiarovkou.
- Stredne závažná zraniteľnosť súvisiaca s nedostatočnou náhodnosťou počas symetrického šifrovania.
- Stredne závažná chyba zabezpečenia, ktorá by mohla byť použitá s chybou vyššie a spôsobiť odmietnutie služby.
Slabá autentifikácia
Foto: TP-Link
„Stručne povedané, autentifikácia nie je dostatočne zohľadnená a dôvernosť nie je dostatočne dosiahnutá implementovanými kryptografickými opatreniami,“ uvádza sa v správe.
Hacker mohol získať prístup k žiarovke aj iným zariadeniam Tapo priradeným k účtu. A mohli získať aj heslo používateľa Wi-Fi.
TP-Link v určitom okamihu vydá opravy firmvéru
Výskumníci poslali zistenia spoločnosti TP-Link na Taiwane, ktorá uviedla, že vydá aktualizácie firmvéru na odstránenie problémov. Nie je však jasné, kedy sa tak stane.
„Tieto pomocné a inteligentné zariadenia môžu byť slabým článkom dôveryhodného domáceho prostredia; predmostí pre škodlivých aktérov, aby potom získali horizontálny prístup k iným zariadeniam za „zabezpečeným“ firewallom,“ poznamenal Andrew Bolster, senior manažér výskumu a vývoja Synopsys pre dátovú vedu.
„Ako pridávame čoraz inteligentnejšie zariadenia, či už ide o chladničky, hlasových asistentov, ovládače kúrenia, vysávače atď., príležitosť na rozšírenie bezpečnostných porúch sa exponenciálne rozširuje,“ dodal.