【新興應用資安】
TP-Link 智慧燈泡內含多個漏洞,駭侵者可藉以竊得 Wi-Fi 密碼
義大利卡塔尼亞大學(Universita di Catania)與英國倫敦大學的資安研究人員,日前聯合發表研究報告;報告指出銷售量相當大的 TP-Link 智慧燈泡 Tapo L530E 與其控制用行動軟體 Tapo App,內含 4 個嚴重漏洞,駭侵者可藉以竊取使用者設定的 Wi-Fi 連線密碼。
這些漏洞的問題分列如下:
- 其中一個漏洞可讓鄰近攻擊者取得 Tapo 系統的使用者密碼,以控制 Tapo 系列裝置;
- 還有一個漏洞是硬式編碼(hard-coded)在程式碼中的共享密碼,僅使用很短的 checksum 加密,駭侵者可透過暴力試誤法取得這些密碼;
- 另一個漏洞是在進行加密時缺少隨機性,因此其加密方式可預測得知;
- 第四個漏洞是訊息在執行期間的有效期限長達 24 小時,使得駭侵者可以在期間內不斷重播訊息
研究人員在報告發表之前已通報 TP-Link,TP-Link 也在日前推出新版韌體與 App 更近,解決了這批漏洞。
建議使用各類 IoT 裝置的使用者或系統管理者,必須隨時保持這些裝置與其軟體維持在最新版本,且應在原廠發表資安修補時立即更新。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-7338-f8608-1.html
沒有留言:
張貼留言