Säkerhetsforskare noterade på onsdagen att ett populärt märke av smarta glödlampor har brister som kan ge hackare lösenord och annan information.
En artikel undersökte fyra brister i den bästsäljande TP-Link Tapo L530E, som fungerar med HomeKit.
TP-Link smart glödlampa kan ge bort lösenord och mer
Tidningen avslöjar brister i den molnaktiverade TP-Link Tapo L530E smarta glödlampan kommer från forskare vid Catania University och University of London, enligt Tidningen Infosäkerhet och andra källor.
TP-Link har byggt upp sin arsenal av HomeKit-aktiverade varor 2022, inklusive en ny ljuslist och den hela Tapo-uppställningen.
Tidningen beskrev rapportens resultat den här vägen:
Forskarna tillämpade stegen i PETIoT-dödskedjan för att utföra Vulnerability Assessment and Penetration Testing (VAPT). De hittade fyra buggar som kunde ha en "dramatisk inverkan", enligt tidningen:
- En stor bugg relaterad till bristande autentisering med den medföljande smartphone-appen, vilket innebär att vem som helst kan autentisera till appen och låtsas vara den smarta glödlampan.
- Ett fel med hög allvarlighetsgrad relaterat till en hårdkodad och för kort hemlighet som delas av Tapo-appen och den smarta glödlampan, som avslöjas av kodfragment som drivs av appen och den smarta glödlampan.
- En medelsvår sårbarhet relaterad till brist på slumpmässighet under symmetrisk kryptering.
- En medelsvår sårbarhet som kan användas med buggen ovan för att orsaka överbelastning.
Dålig autentisering
"Kort sagt, autentisering är inte väl redovisad och konfidentialitet uppnås otillräckligt av de implementerade kryptografiska åtgärderna," sade rapporten.
Hackaren kunde komma åt både glödlampan och andra Tapo-enheter som är associerade med kontot. Och de kan också få användarens Wi-Fi-lösenord.
TP-Link kommer att utfärda firmwarefixar någon gång
Forskarna skickade resultaten till TP-Link i Taiwan, som sa att de kommer att utfärda firmwareuppdateringar för att åtgärda problemen. Men det är inte klart när det kommer att ske.
"Dessa hjälpmedel och smarta enheter kan vara den svaga länken till den pålitliga hemmiljön; ett strandhuvud för illvilliga aktörer för att sedan få horisontell åtkomst till andra enheter bakom den "säkra" brandväggen", konstaterade Synopsys senior FoU-chef för datavetenskap, Andrew Bolster.
"När vi lägger till allt smartare enheter, vare sig det är kylskåp, röstassistenter, värmekontroller, dammsugare, etc, ökar möjligheten för säkerhetsfel att sprida sig exponentiellt," tillade han.