Через умную лампочку можно украсть пароль
Если что-то подключено к Интернету, это можно взломать — да, даже некоторые из лучших умных лампочек. Хотя умные лампочки позволяют легко регулировать освещение и атмосферу в вашей комнате, они подключаются к Wi-Fi, что делает их уязвимыми для атак. Исследователи из Университета Катании и Лондонского университета обнаружили особую уязвимость в умной лампочке TP-Link Tapo L530E и сопутствующем приложении TP-Link Tapo. Похоже, что хакеры могут получить доступ к паролям только лишь через умную лампочку.
В наши дни умные устройства становятся все более заметными в домах по всему миру. TP-Link Tapo L530E — популярная умная лампочка, именно это побудило исследователей проанализировать ее и попытаться найти недостатки в ее безопасности. К сожалению, было обнаружено как минимум четыре уязвимости, все из которых связаны с тем, что меры безопасности лампы могут оказаться недостаточными.
Первый недостаток, считающийся уязвимостью высокой степени серьезности, связан с тем, что злоумышленники потенциально могут выдать себя за Tapo L503E во время обмена сеансовыми ключами. Сообщается, что эта уязвимость, получившая оценку 8.8 по шкале серьезности, позволяет хакеру украсть пароли Tapo пользователя и получить контроль над его умными устройствами. Второй недостаток высокой степени серьезности (рейтинг 7.6) связан со слабым кодом контрольной суммы, используемым умными лампочками, что позволяет потенциальным злоумышленникам легко его обнаружить либо путем грубого подбора, либо путем просмотра кода приложения Tapo.
Две другие уязвимости менее серьезны. Одна из них касается того факта, что во время шифрования практически отсутствует случайность, что облегчает злоумышленникам прогнозирование и декодирование криптографической схемы. Наконец, похоже, что любые сообщения, полученные «умной лампочкой», остаются доступными злоумышленникам в течение целых 24 часов.
Какая польза от взлома умной лампочки? Что ж, оказывается, это опаснее, чем кажется. Уязвимость с самым высоким рейтингом фактически позволяет злоумышленникам выдать себя за вашу умную лампочку и украсть данные Tapo. С этого момента они смогут увидеть ваш SSID и пароль Wi-Fi, что потенциально может раскрыть все остальные устройства, подключенные к этой сети. К счастью, похоже, что для того, чтобы атака стала возможной, устройство должно находиться в режиме настройки, но хакеры могут удалить аутентификацию из «умной лампочки», заставив использовать режим настройки.
Существует также вероятность атаки «Человек посреди» (MITM), которая основана на вышеупомянутой уязвимости для получения ключей шифрования RSA, которые позже можно использовать для обмена данными. В конечном итоге оказывается, что риску могут подвергнуться не только учетные данные Tapo, но и пароли Wi-Fi и, возможно, другие конфиденциальные данные.
Исследователи описали все четыре уязвимости в статье, о которой затем сообщил Bleeping Computer. Прежде чем обнародовать этот вопрос, они раскрыли уязвимости компании TP-Link, которая пообещала обновить прошивку лампы, чтобы устранить эти проблемы. Однако неясно, сколько времени потребуется, чтобы решить эту проблему.
Что вы можете сделать, чтобы оставаться в безопасности? Прежде всего, не пренебрегайте использованием многофакторной аутентификации (MFA) на каждом устройстве и в приложении, которые это позволяют. Используйте надежные пароли и никогда не используйте один и тот же пароль дважды. Что касается устройств умного дома в целом, если вы сможете держать их подальше от важных сетей, это может быть к лучшему, поскольку они часто не обеспечивают тот уровень безопасности, который вы ожидаете от более продвинутых устройств.
В наши дни умные устройства становятся все более заметными в домах по всему миру. TP-Link Tapo L530E — популярная умная лампочка, именно это побудило исследователей проанализировать ее и попытаться найти недостатки в ее безопасности. К сожалению, было обнаружено как минимум четыре уязвимости, все из которых связаны с тем, что меры безопасности лампы могут оказаться недостаточными.
Первый недостаток, считающийся уязвимостью высокой степени серьезности, связан с тем, что злоумышленники потенциально могут выдать себя за Tapo L503E во время обмена сеансовыми ключами. Сообщается, что эта уязвимость, получившая оценку 8.8 по шкале серьезности, позволяет хакеру украсть пароли Tapo пользователя и получить контроль над его умными устройствами. Второй недостаток высокой степени серьезности (рейтинг 7.6) связан со слабым кодом контрольной суммы, используемым умными лампочками, что позволяет потенциальным злоумышленникам легко его обнаружить либо путем грубого подбора, либо путем просмотра кода приложения Tapo.
Две другие уязвимости менее серьезны. Одна из них касается того факта, что во время шифрования практически отсутствует случайность, что облегчает злоумышленникам прогнозирование и декодирование криптографической схемы. Наконец, похоже, что любые сообщения, полученные «умной лампочкой», остаются доступными злоумышленникам в течение целых 24 часов.
Какая польза от взлома умной лампочки? Что ж, оказывается, это опаснее, чем кажется. Уязвимость с самым высоким рейтингом фактически позволяет злоумышленникам выдать себя за вашу умную лампочку и украсть данные Tapo. С этого момента они смогут увидеть ваш SSID и пароль Wi-Fi, что потенциально может раскрыть все остальные устройства, подключенные к этой сети. К счастью, похоже, что для того, чтобы атака стала возможной, устройство должно находиться в режиме настройки, но хакеры могут удалить аутентификацию из «умной лампочки», заставив использовать режим настройки.
Существует также вероятность атаки «Человек посреди» (MITM), которая основана на вышеупомянутой уязвимости для получения ключей шифрования RSA, которые позже можно использовать для обмена данными. В конечном итоге оказывается, что риску могут подвергнуться не только учетные данные Tapo, но и пароли Wi-Fi и, возможно, другие конфиденциальные данные.
Исследователи описали все четыре уязвимости в статье, о которой затем сообщил Bleeping Computer. Прежде чем обнародовать этот вопрос, они раскрыли уязвимости компании TP-Link, которая пообещала обновить прошивку лампы, чтобы устранить эти проблемы. Однако неясно, сколько времени потребуется, чтобы решить эту проблему.
Что вы можете сделать, чтобы оставаться в безопасности? Прежде всего, не пренебрегайте использованием многофакторной аутентификации (MFA) на каждом устройстве и в приложении, которые это позволяют. Используйте надежные пароли и никогда не используйте один и тот же пароль дважды. Что касается устройств умного дома в целом, если вы сможете держать их подальше от важных сетей, это может быть к лучшему, поскольку они часто не обеспечивают тот уровень безопасности, который вы ожидаете от более продвинутых устройств.
Источник: Digital Trends.
2023-08-24 01:01
Разное
Умный дом управляемый с вашего iPhone или Android-телефона. Магазин умных аксессуаров. Заказ установки устройств в своём интерьере. Новости о том, что происходит в сфере умного дома.
° Apple, Apple Home, HomeKit, AirPlay, CarPlay, iPhone, iPad, Mac, iMac, Mac Mini, MacBook, Apple Watch, Apple TV, HomePod, Vision Pro, iOS, iPadOS, MacOS, watchOS, visionOS являются зарегистрированными товарными знаками компании Apple.
° Яндекс и Алиса являются товарными знаками компании Яндекс.
° Matter — проприетарный стандарт домашней автоматизации, не требущий авторских отчислений.
Принимаем:
Аккредитация:
Продолжая использовать наш сайт,
вы даете согласие на обработку файлов Cookies
и других пользовательских данных,
в соответствии с Политикой конфиденциальности.
Копирование материалов сайта
разрешено исключительно
с использованием ссылки на источник.
вы даете согласие на обработку файлов Cookies
и других пользовательских данных,
в соответствии с Политикой конфиденциальности.
Копирование материалов сайта
разрешено исключительно
с использованием ссылки на источник.
Есть предложения или нашли неточность?
Напишите нам:
Напишите нам:
