Ένα ζευγάρι ειδικών σε θέματα ασφάλειας πληροφοριών από το Πανεπιστήμιο της Κατάνια, σε συνεργασία με έναν συνάδελφό του από το Πανεπιστήμιο του Λονδίνου, ανακάλυψαν τέσσερα τρωτά σημεία σε έναν από τους πιο δημοφιλείς έξυπνους λαμπτήρες TP-Link. Ο Davide Bonaventura, ο Giampaolo Bella και ο Sergio Esposito έγραψαν ένα άρθρο που περιγράφουν τη δοκιμή του έξυπνου λαμπτήρα και τι ανακάλυψαν.
Οι έξυπνοι λαμπτήρες, όπως αυτοί της TP-Link, επιτρέπουν στους χρήστες να ελέγχουν τις λειτουργίες του λαμπτήρα μέσω μιας εφαρμογής smartphone. Αυτά τα χαρακτηριστικά περιλαμβάνουν τη δυνατότητα επιλογής του χρώματος του λαμπτήρα, τον προγραμματισμό ενός χρονοδιακόπτη για να υποδείξει πότε πρέπει να τον ενεργοποιήσετε ή να τον απενεργοποιήσετε και να παρακολουθείτε τη χρήση ενέργειας. Οι λαμπτήρες μπορούν επίσης να ελέγχονται απευθείας μέσω Wi-Fi, που σημαίνει ότι δεν απαιτούν διανομέα ή άλλο υλικό. Είναι αυτό το τελευταίο χαρακτηριστικό, σύμφωνα με το ερευνητικό τρίο, που κάνει τη λάμπα ευάλωτη στους χάκερ.
Δοκιμάζοντας την πιο δημοφιλή έξυπνη λάμπα Tapo, L530E, οι ερευνητές εντόπισαν τέσσερα τρωτά σημεία. Ένα από αυτά τα τρωτά σημεία περιγράφηκε ως πολύ σοβαρό – ο λαμπτήρας δεν είχε καμία δυνατότητα εξουσιοδότησης μεταξύ αυτού και της σχετικής εφαρμογής. Αυτό επέτρεψε στην ερευνητική ομάδα να μιμηθεί μια λάμπα κατά τη διάρκεια μιας δοκιμαστικής συνεδρίας, να καταγράψει τον κωδικό πρόσβασης που σχετίζεται με τη λάμπα και να ελέγξει τις ενέργειές της από εκεί.
Η δεύτερη ευπάθεια, την οποία η ομάδα κατέταξε ως σοβαρή, επέτρεψε στους χάκερ που βρίσκονταν κοντά να αποκτήσουν τον μυστικό κωδικό που χρησιμοποιήθηκε για τον έλεγχο ταυτότητας όταν εντοπίστηκε η συσκευή. Η τρίτη ευπάθεια ήταν η έλλειψη τυχαίας κατά την κρυπτογράφηση, η οποία έκανε το σχήμα προβλέψιμο, και η τέταρτη ευπάθεια επέτρεψε στην ομάδα να αναπαράγει τα μηνύματα που αποστέλλονταν από και προς τη λάμπα.
Η τριάδα των ερευνητών σημειώνει ότι μια ευπάθεια που σχετίζεται με την πλαστοπροσωπία της λάμπας επιτρέπει την κλοπή πληροφοριών λογαριασμού Tapo, οι οποίες μπορούν να χρησιμοποιηθούν έμμεσα για την αποκάλυψη του κωδικού πρόσβασης Wi-Fi που χρησιμοποιείται από το σύστημα Wi-Fi στο οποίο συνδέθηκε η λάμπα. Μόλις αποκτήθηκε αυτός ο κωδικός πρόσβασης, οι χάκερ μπορούσαν όχι μόνο να παραβιάσουν το δίκτυο για δική τους χρήση, αλλά και να το χρησιμοποιήσουν ενδεχομένως για πρόσβαση σε άλλες συσκευές του δικτύου.
Η ερευνητική ομάδα ανέφερε όσα βρήκε στο TP-Link και ενημερώθηκε ότι όλα τα τρωτά σημεία που βρέθηκαν είχαν επιδιορθωθεί και ότι οι επιδιορθώσεις ήταν υπό ανάπτυξη.
Διαβάστε επίσης: