卡塔尼亞大學的兩位信息安全專家與倫敦大學的一位同事合作,在最流行的智能燈泡之一中發現了四個漏洞 TP-LINK。 Davide Bonaventura、Giampaolo Bella 和 Sergio Esposito 撰寫了一篇文章,描述了他們對智能燈泡的測試以及他們的發現。
智能燈泡(例如 TP-Link 的燈泡)允許用戶通過智能手機應用程序控制燈泡的功能。 這些功能包括選擇燈泡顏色、安排計時器以指示何時打開或關閉燈泡以及監控能源使用情況。 這些燈泡還可以通過 Wi-Fi 直接控制,這意味著它們不需要集線器或其他硬件。 根據研究三人組的說法,正是最後一個功能使燈泡容易受到黑客的攻擊。
- 廣告 -
測試最流行的智能燈泡 塔波,L530E研究人員發現了四個漏洞。 其中一個漏洞被描述為非常嚴重——燈泡與相關應用程序之間沒有授權功能。 這使得研究團隊能夠在測試期間模擬燈泡,記錄與燈泡相關的密碼,並從那裡控制其操作。
第二個漏洞被團隊列為嚴重漏洞,允許附近的黑客在檢測到設備時獲取用於身份驗證的密碼。 第三個漏洞是加密過程中缺乏隨機性,這使得該方案可預測,第四個漏洞允許團隊重放發送到燈泡和從燈泡發出的消息。
三名研究人員指出,與燈泡模擬相關的漏洞允許 Tapo 帳戶信息被竊取,這可以間接用於洩露燈泡所連接的 Wi-Fi 系統所使用的 Wi-Fi 密碼。 一旦獲得該密碼,黑客不僅可以劫持網絡供自己使用,還可能利用它來訪問網絡上的其他設備。
研究團隊向 TP-Link 報告了他們的發現,並被告知所有發現的漏洞均已修復,並且修復正在開發中。
另請閱讀: