カターニア大学の情報セキュリティ専門家 人は、ロンドン大学の同僚と協力して、最も人気のあるスマート電球の つに つの脆弱性を発見しました。 TP-リンク。 Davide Bonaventura、Giampaolo Bella、Sergio Esposito は、スマート電球のテストとその発見について説明する記事を書きました。
TP-Link のスマート電球などを使用すると、ユーザーはスマートフォン アプリを介して電球の機能を制御できます。 これらの機能には、電球の色の選択、いつ点灯または消灯するかを示すタイマーのスケジュール設定、エネルギー使用量の監視などの機能が含まれます。 電球は Wi-Fi 経由で直接制御することもできるため、ハブやその他のハードウェアは必要ありません。 研究チームによると、電球がハッカーに対して脆弱になるのはこの最後の特徴だという。
最も人気のあるスマート電球をテストする タポ、L530E, 研究者らは つの脆弱性を特定しました。 これらの脆弱性の つは非常に深刻であると説明されており、電球には関連するアプリケーションとの間で認証機能がありませんでした。 これにより、研究チームはテスト セッション中に電球になりすまし、電球に関連付けられたパスワードを記録し、そこから電球の動作を制御できるようになりました。
チームが深刻と分類した 番目の脆弱性は、近くにいたハッカーがデバイスの検出時に認証に使用される秘密コードを取得する可能性がありました。 番目の脆弱性は、暗号化中にランダム性がないことでスキームが予測可能になることであり、 番目の脆弱性により、チームは電球との間で送受信されるメッセージを再生できるようになりました。
研究者 人は、電球のなりすましに関連する脆弱性により、Tapo アカウント情報が盗まれる可能性があり、電球が接続されていた Wi-Fi システムで使用されている Wi-Fi パスワードを間接的に明らかにするために使用される可能性があると指摘しています。 このパスワードを取得すると、ハッカーは自分自身で使用するためにネットワークを乗っ取るだけでなく、ネットワーク上の他のデバイスにアクセスするためにそれを使用する可能性もあります。
研究チームは発見した内容を TP-Link に報告し、発見されたすべての脆弱性は修正され、修正は開発中であると告げられました。
また読む: