Четыре уязвимости обнаружены исследователями в умной лампочке TP-Link Tapo L530E и сопровождающем ее мобильном приложении TP-Link Tapo. Эти проблемы могут использоваться для получения пароля от локальной сети Wi-Fi.

Специалисты из Катанского университета и Лондонского университета пишут, что изучили именно этот продукт из-за его огромной популярности: TP-Link Tapo L530E — самые продаваемые умные лампочки на многих торговых площадках, включая Amazon, а приложение TP-link Tapo установлено из Google Play Store более 10 млн раз.

Тем не менее, основной целью исследователей было привлечение внимание к рискам безопасности миллиардов умных IoT- устройств, многие из которых передают данные небезопасным путем и обладают слабой защитой аутентификации.

Первая уязвимость в TP-Link Tapo L530E связана с некорректной аутентификацией, позволяющей злоумышленникам выдавать себя за пользователя на этапе обмена сеансовыми ключами. Эта уязвимость набрала 8,8 балла по шкале CVSS и позволяет находящемуся неподалеку злоумышленнику узнать пароль пользователя Tapo и манипулировать устройством.

Вторая уязвимость (7,6 балла по шкале CVSS) связана с приложением Tapo и возникает из-за жестко закодированной короткой контрольной суммы общего секрета, который злоумышленники могут узнать через обычный брутфорс и декомпиляцию приложения.

Третья проблема связана с отсутствием случайности при симметричном шифровании, что делает криптографическую схему предсказуемой.

Наконец, четвертая проблема связана с отсутствием проверки актуальности для полученных сообщений: сеансовые ключи хранятся в течение 24 часов, что позволяет злоумышленникам повторно воспроизводить сообщения в течение этого периода времени.

Специалисты объясняют, что в одном из наиболее опасных сценариев атак злоумышленник может выдать себя за умную лампочку и узнать данные учетной записи пользователя Tapo, используя первую и вторую уязвимость из перечисленных выше.

После этого, получив доступ к приложению Tapo, злоумышленник получает возможность узнать SSID и пароль от Wi-Fi сети жертвы, что дает ему доступ ко всем другим устройствам, подключенным к этой сети.

Отмечается, что для реализации такой атаки уязвимое устройство должно находиться в режиме настройки. Однако злоумышленник может деаутентифицировать лампочку, заставив пользователя заново настроить ее для восстановления работоспособности.

Как выдать себя за TP-Link Tapo

Другой способ атаки — это атака типа MitM (Man-In-The-Middle) на настроенное устройство Tapo L530E, использующая первую уязвимость для перехвата и манипулирования соединением между приложением и лампочкой. Это позволяет перехватить ключи шифрования RSA, используемые для последующего обмена данными.

Также MitM-атаки возможны и для ненастроенных устройств Tapo: первая уязвимость снова используется для подключения к Wi-Fi во время настройки, создания моста между двумя сетями и маршрутизации сообщений обнаружения, в результате чего можно узнать пароль Tapo, SSID и пароль от Wi-Fi.

Исследователи сообщают, что уведомили об обнаруженных проблемах разработчиков компании TP-Link, и производитель сообщил, что скоро внесет исправления как в приложение, так и в прошивку умных лампочек. Как видно в таблице ниже, некоторые патчи уже вышли.

Источник: xakep