Исследователи из Катанийского университета в Италии и Университета Лондона обнаружили 4 уязвимости в умных лампочках TP-Link Tapo L530E и приложении TP-Link Tapo. Эти дефекты могут помочь хакерам украсть пароли и учетные данные Wi-Fi.
Об этом сообщает портал No Worries.
Отмечается, что TP-Link Tapo L530E – один из лидеров продаж на разных площадках, среди которых и Amazon. Программа, предназначенная для управления умными устройствами, насчитывает около 10 миллионов скачиваний. Исследователи решили изучить этот продукт, чтобы обратить внимание на общие проблемы безопасности в механизмах интернет-вещей (IoT).
Первая обнаруженная уязвимость (CVSS v3.1: 8.8) связана с ненадежной аутентификацией. Хакер может провести атаку Man-In-The-Middle, имитируя устройство для обмена ключами сессии. Из программы извлекается название Wi-Fi и пароль жертвы, что позволит управлять всеми устройствами сети.
Посредством второй уязвимости (CVSS v3.1: 7.6) хакеры могут эксплуатировать заранее определенную короткую контрольную сумму. Далее метод «грубой силы» поможет эту сумму расшифровать и обойти систему защиты.
Короткая контрольная сумма – это небольшой набор данных из обширной информации для быстрой верификации. Инструмент полезен для обнаружения ошибок в коде. Убедитесь, что файлы не были изменены.
Третья проблема – нехватка случайных элементов в симметричном шифровании. В криптографии безопасности случайность играет ключевую роль: чем менее предполагаема система, тем труднее ее сломать.
Четвертая уязвимость связана с тем, что актуальность сообщений не проверяется. Ключи сессии остаются действительными в течение 24 часов, что развязывает хакерам руки для перехвата сообщений. Это позволит манипулировать системой или получить доступ к конфиденциальной информации.
Исследователи оперативно сообщили об обнаруженных уязвимостях компании TP-Link, специалисты фирмы признали наличие этих проблем и пообещали выпустить патчи в ближайшее время.
Как сообщал Курсор, израильтян предупредили о новом способе, который используют хакеры для кражи личных данных.
Курсор писал ранее, что израильские правоохранители предупредили, что в стране активизировались «банкоматные» мошенники.