Dvojice specialistů na informační bezpečnost z University of Catania ve spolupráci s kolegou z University of London objevila čtyři zranitelnosti jedné z nejpopulárnějších chytrých žárovek TP-Link. Davide Bonaventura, Giampaolo Bella a Sergio Esposito napsali článek popisující své testování chytré žárovky a to, co objevili.
Chytré žárovky, jako jsou ty od TP-Link, umožňují uživatelům ovládat funkce žárovky prostřednictvím aplikace pro chytré telefony. Mezi tyto funkce patří možnost vybrat si barvu žárovky, naplánovat časovač, který bude indikovat, kdy ji zapnout nebo vypnout, a sledovat spotřebu energie. Žárovky lze také ovládat přímo přes Wi-Fi, což znamená, že nevyžadují rozbočovač ani jiný hardware. Právě tato poslední funkce podle výzkumného tria činí žárovku zranitelnou vůči hackerům.
Testování nejoblíbenější chytré žárovky Tapo, L530E, výzkumníci identifikovali čtyři zranitelnosti. Jedna z těchto zranitelností byla popsána jako velmi závažná – žárovka neměla mezi sebou a přidruženou aplikací žádnou autorizační schopnost. To výzkumnému týmu umožnilo vydávat se za žárovku během testovacího sezení, zaznamenávat heslo spojené s žárovkou a odtud ovládat její akce.
Druhá zranitelnost, kterou tým klasifikoval jako závažnou, umožnila hackerům, kteří byli poblíž, získat tajný kód používaný k ověření, když bylo zařízení detekováno. Třetí zranitelnost byl nedostatek náhodnosti během šifrování, díky čemuž bylo schéma předvídatelné, a čtvrtá zranitelnost umožnila týmu přehrát zprávy odeslané do a z žárovky.
Trio výzkumníků poznamenává, že zranitelnost související s vydáváním se za žárovku umožňuje odcizení informací o účtu Tapo, které lze nepřímo použít k odhalení hesla Wi-Fi používaného systémem Wi-Fi, ke kterému byla žárovka připojena. Jakmile bylo toto heslo získáno, hackeři mohli nejen unést síť pro vlastní potřebu, ale také ji potenciálně použít k přístupu k dalším zařízením v síti.
Výzkumný tým oznámil, co zjistil, společnosti TP-Link a bylo mu řečeno, že všechny nalezené chyby zabezpečení byly opraveny a že opravy jsou ve vývoji.
Přečtěte si také: