Через смарт-лампочки TP-Link хакеры могут выкрасть пароли к пользовательскому Wi-Fi

Image:
Pierre Châtel-Innocenti (unsplash)

Смарт-лампочки от TP-Link предоставляют хакерам возможность кражи паролей от Wi-Fi сетей пользователей. Специалисты по информационной безопасности из Великобритании и Италии выявили четыре критических уязвимости как в устройствах, так и в мобильном приложении TP-Link Tapo, предназначенном для их управления.

Эксперты по кибербезопасности решили изучить лампы TP-Link Tapo L530E, потому как этот продукт пользуется большой популярностью: только в Google Play соответствующее приложение насчитывает свыше 10 миллионов установок.

Исследование, проведенное экспертами из университетов Катании и Лондона, было направлено на анализ устройств TP-Link из-за их распространенности на европейском рынке. В отчет подчеркиваются риски безопасности, которые несут миллиарды устройств «интернета вещей». Многие из них имеют уязвимости в передаче данных и недостаточную аутентификацию.

• Первая выявленная в TP-Link Tapo L530E уязвимость связана с ошибками в аутентификации лампочки, что позволяет злоумышленникам маскироваться под устройство во время обмена ключами. Эта уязвимость получила высокий рейтинг опасности — CVSS 8.8 баллов. Она дает возможность хакерам, находящимся поблизости, извлечь учетные данные устройства.
• Вторая уязвимость заключается в использовании жестко закодированных ключей с короткой контрольной суммой, что может быть использовано хакерами для атак методом «грубой силы» или декомпиляции приложения.
• Третья уязвимость касается отсутствия случайности при симметричном шифровании, делая криптографическую схему предсказуемой.
• Четвертая уязвимость связана с недостатками в обработке сообщений, в частности, с отсутствием проверки «свежести» сообщений и сохранением сессий на протяжении 24 часов, что может быть использовано для повторного воспроизведения сообщений.

Пользователям рекомендуется следить за обновлениями от производителя и оперативно устанавливать их для обеспечения безопасности своих устройств.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.