如果它连接到互联网,它就可能被黑客攻击——是的,即使是一些最好的智能灯泡也是如此。虽然智能灯泡可以轻松调节房间的照明和氛围,但它们连接到 Wi-Fi,这使得它们容易受到攻击。卡塔尼亚大学和伦敦大学的研究人员在 TP-Link Tapo L530E 智能灯泡和随附的 TP-Link Tapo 应用程序中发现了一个特殊漏洞。 黑客似乎可以通过智能灯泡获取您的密码。
如今,智能设备在全球家庭中越来越重要。 TP-Link Tapo L530E 是一款流行的智能灯泡,这促使研究人员对其进行分析并试图找出其安全漏洞。不幸的是,他们发现了至少四个漏洞,所有这些漏洞都源于灯泡的安全措施可能不足。
第一个缺陷被认为是高严重性漏洞,源于攻击者可能在会话密钥交换期间冒充 Tapo L503E。据报道,该漏洞的严重程度为 8.8 分,允许黑客窃取用户的 Tapo 密码并控制他们的智能设备。第二个高严重性缺陷(评级为 7.6)与智能灯泡使用的弱校验和代码有关,这使得潜在的攻击者很容易通过暴力破解或通过 Tapo 的代码来发现它。应用程序。
另外两个漏洞不太严重。人们担心加密过程中严重缺乏随机性,这使得威胁行为者更容易预测和解码加密方案。最后,攻击者似乎可以在整整 24 小时内访问智能灯泡收到的任何消息。
破解智能灯泡有什么好处?好吧,事实证明它比看起来更危险。评级最高的漏洞实际上允许攻击者冒充您的智能灯泡并窃取您的 Tapo 详细信息。从那时起,他们就能够看到您的 Wi-Fi SSID 和密码,这可能会暴露连接到该网络的所有其他设备。幸运的是,设备似乎需要处于设置模式才能进行攻击,但黑客可以从智能灯泡中删除身份验证,强制使用设置模式。
还存在潜在的中间人 (MITM) 攻击,该攻击依赖上述漏洞来检索 RSA 加密密钥,以便稍后用于交换数据。最终,似乎不仅 Tapo 凭证,Wi-Fi 密码和其他潜在敏感数据也可能面临风险。
研究人员在一篇论文中描述了所有四个漏洞,该论文随后被Bleeping Computer报道。在公开此事之前,他们向 TP-Link 披露了这些漏洞,TP-Link 承诺更新灯泡的固件来修复这些问题。不过,目前还不清楚这个问题需要多长时间才能得到解决。
您可以做什么来保证安全?最重要的是,不要忽视在每台允许的设备和应用程序上使用多重身份验证 (MFA)。使用安全密码,切勿两次使用相同的密码。对于一般的智能家居设备来说,如果您能让它们远离重要网络,这可能是最好的选择,因为它们通常无法提供您期望从更先进的设备获得的相同类型的安全性。