Изследователи от Италия и Обединеното кралство са открили четири уязвимости в умната крушка TP-Link Tapo L530E и приложението Tapo на TP-Link, които могат да позволят на нападателите да откраднат паролата за Wi-Fi на своя обект.
TP-Link Tapo L530E е най-продаваната интелигентна крушка на множество пазари, включително Amazon. TP-link Tapo е приложение за управление на интелигентни устройства с 10 милиона инсталации в Google Play.
Изследователите от Universita di Catania и Лондонския университет са анализирали този продукт поради неговата популярност. Целта на техния документ обаче е да подчертае рисковете за сигурността в милиардите интелигентни IoT устройства, използвани от потребителите, много от които следват рисково предаване на данни и недостатъчни гаранции за удостоверяване.
Недостатъци на интелигентните крушки
Първата уязвимост е свързана с неправилно удостоверяване на Tapo L503E, което позволява на нападателите да се представят за устройството по време на етапа на обмен на сесиен ключ.
Тази уязвимост с висока степен на опасност (оценка по CVSS v3.1: 8,8) позволява на съседен нападател да извлича пароли на потребители на Tapo и да манипулира устройствата Tapo.
Вторият недостатък също е проблем с висока степен на опасност (оценка по CVSS v3.1: 7,6), произтичащ от твърдо кодирана споделена тайна с кратка контролна сума, която нападателите могат да получат чрез грубо форсиране или чрез декомпилиране на приложението Tapo.
Третият проблем е недостатък със средна степен на опасност, свързан с липсата на случайност по време на симетричното криптиране, което прави криптографската схема предсказуема.
И накрая, четвъртият проблем е свързан с липсата на проверки за свежестта на получените съобщения, като ключовете на сесиите са валидни 24 часа и позволяват на нападателите да възпроизвеждат съобщения през този период.
Сценарии за атака
Най-обезпокоителният сценарий за атака е олицетворяване на крушката и извличане на данни за потребителския акаунт в Tapo чрез използване на уязвимости 1 и 2.
След това, като получи достъп до приложението Tapo, нападателят може да извлече WiFi SSID и паролата на жертвата и да получи достъп до всички други устройства, свързани към тази мрежа.
За да работи атаката, устройството трябва да е в режим на настройка. Въпреки това нападателят може да деактуализира крушката, принуждавайки потребителя да я настрои отново, за да възстанови функцията и.
Друг тип атака, изследван от изследователите, е MITM (Man-In-The-Middle) атака с конфигурирано устройство Tapo L530E, при която се използва уязвимост 1, за да се прихване и манипулира комуникацията между приложението и крушката и да се прихванат RSA ключовете за криптиране, използвани за последващ обмен на данни.
MITM атаки са възможни и с неконфигурирани устройства Tapo, като отново се използва уязвимост 1 чрез свързване към WiFi по време на настройката, свързване на две мрежи и маршрутизиране на съобщения за откриване, като в крайна сметка се извличат пароли за Tapo, SSID и пароли за WiFi в лесно дешифрируем base64 кодиран вид.
И накрая, уязвимост 4 позволява на нападателите да извършват атаки за преиграване, като възпроизвеждат съобщения, които са били прихванати преди това, за да постигнат функционални промени в устройството.
Разкриване и отстраняване
Изследователите от университета отговорно са разкрили откритията си пред TP-Link, а производителят е признал всички тях и ги е информирал, че скоро ще въведе поправки както в приложението, така и във фърмуера на крушката.
В статията обаче не се изяснява дали тези поправки вече са били предоставени и кои версии остават уязвими за атаки.
Инфографики: arxiv.org