Varnostni raziskovalci so v sredo ugotovili, da ima priljubljena znamka pametnih žarnic pomanjkljivosti, ki bi lahko hekerjem dale gesla in druge informacije.
Prispevek je preučil štiri pomanjkljivosti v najbolje prodajanem TP-Link Tapo L530E, ki deluje z HomeKit.
Pametna žarnica TP-Link lahko izda gesla in drugo
Razkritje papirja napake v pametni žarnici TP-Link Tapo L530E, ki deluje v oblaku prihaja od raziskovalcev z Univerze Catania in Univerze v Londonu, glede na Revija Infosecurity in drugi viri.
TP-Link je leta 2022 zgradil svoj arzenal izdelkov, ki podpirajo HomeKit, vključno z nov svetlobni trak in celotna zasedba Tapo.
Opisana revija ugotovitve poročila Na ta način:
Raziskovalci so uporabili korake verige ubijanja PETIoT za izvedbo ocene ranljivosti in testiranja prodora (VAPT). Našli so štiri hrošče, ki bi lahko imeli "dramatičen učinek", glede na časopis:
- Zelo resna napaka, povezana s pomanjkanjem preverjanja pristnosti s spremljajočo aplikacijo za pametne telefone, kar pomeni, da lahko kdorkoli preveri pristnost v aplikaciji, ki se pretvarja, da je pametna žarnica.
- Zelo resna napaka, povezana s trdo kodirano in prekratko skrivnostjo, ki si jo delita aplikacija Tapo in pametna žarnica, ki jo razkrijejo fragmenti kode, ki jih izvajata aplikacija in pametna žarnica.
- Ranljivost srednje resnosti, povezana s pomanjkanjem naključnosti med simetričnim šifriranjem.
- Ranljivost srednje resnosti, ki bi jo lahko skupaj z zgornjim hroščem uporabili za povzročitev zavrnitve storitve.
Slabo preverjanje pristnosti
Fotografija: TP-Link
"Skratka, avtentikacija ni dobro upoštevana in zaupnost ni dovolj dosežena z izvedenimi kriptografskimi ukrepi," je zapisano v poročilu.
Heker bi lahko dostopal do žarnice in drugih naprav Tapo, povezanih z računom. Dobili bi lahko tudi uporabniško geslo za Wi-Fi.
TP-Link bo na neki točki izdal popravke vdelane programske opreme
Raziskovalci so ugotovitve poslali TP-Linku na Tajvanu, ki je dejal, da bo izdal posodobitve strojne programske opreme za odpravo težav. Vendar ni jasno, kdaj se bo to zgodilo.
»Te pomožne in pametne naprave so lahko šibka povezava v zaupanja vrednem domačem okolju; izhodišče za zlonamerne akterje, da nato pridobijo horizontalni dostop do drugih naprav za 'varnim' požarnim zidom,« je povedal Andrew Bolster, višji vodja raziskav in razvoja pri Synopsysu za podatkovno znanost.
»Ko dodajamo vse bolj pametne naprave, pa naj bodo to hladilniki, glasovni pomočniki, regulatorji gretja, sesalniki itd., se možnost za širjenje varnostnih napak eksponentno povečuje,« je dodal.