Истраживачи безбедности приметили су у среду да популарна марка паметних сијалица има недостатке који би хакерима могли дати лозинке и друге информације.
У раду су испитане четири грешке у најпродаванијем ТП-Линк Тапо Л530Е, који ради са ХомеКит-ом.
ТП-Линк паметна сијалица може одати лозинке и још много тога
Разоткривање папира недостаци у паметној сијалици ТП-Линк Тапо Л530Е омогућеној у облаку долази од истраживача са Универзитета Катанија и Универзитета у Лондону, према Инфосецурити Магазине и други извори.
ТП-Линк је изградио свој арсенал производа који подржава ХомеКит 2022. године, укључујући нова светлосна трака анд тхе цела Тапо постава.
Часопис је описао налази извештаја овуда:
Истраживачи су применили кораке ПЕТИоТ ланца убијања да би извршили процену рањивости и тестирање пенетрације (ВАПТ). Пронашли су четири грешке које би могле имати „драматичан утицај“, наводи лист:
- Грешка велике тежине која се односи на недостатак аутентификације са пратећом апликацијом за паметне телефоне, што значи да свако може да се аутентификује у апликацији претварајући се да је паметна сијалица.
- Грешка велике тежине која се односи на тврдо кодирану и прекратку тајну коју деле апликација Тапо и паметна сијалица, а која је изложена фрагментима кода које покреће апликација и паметна сијалица.
- Рањивост средње озбиљности повезана са недостатком случајности током симетричне енкрипције.
- Рањивост средње озбиљности која се може користити са горњом грешком да изазове ускраћивање услуге.
Лоша аутентификација
Фото: ТП-Линк
„Укратко, аутентификација није добро узета у обзир и поверљивост је недовољно постигнута примењеним криптографским мерама“, наводи се у извештају.
Хакер је могао да приступи и сијалици и другим Тапо уређајима повезаним са налогом. И они би такође могли да добију корисничку лозинку за Ви-Фи.
ТП-Линк ће у неком тренутку издати исправке фирмвера
Истраживачи су послали налазе ТП-Линк-у на Тајвану, који је рекао да ће издати ажурирања фирмвера како би решила проблеме. Али није јасно када ће се то догодити.
„Ови помоћни и паметни уређаји могу бити слаба карика у поузданом кућном окружењу; платформа за злонамерне актере да би затим добили хоризонтални приступ другим уређајима иза „безбедног“ заштитног зида“, приметио је Ендрју Болстер, виши менаџер за истраживање и развој компаније Синопсис за науку о подацима.
„Како додајемо све паметније уређаје, било да су то фрижидери, гласовни асистенти, контролери грејања, усисивачи, итд, могућност ширења безбедносних грешака експоненцијално се шири“, додао је он.
