CNEWS匯流新聞網記者王佐銘/綜合報導
近日,來自意大利和英國的研究人員在一項關於智慧家居設備的深入研究中,揭示了TP-Link旗下Tapo系列智慧燈泡(Tapo L530E)以及相應的Tapo應用程式存在多個安全漏洞。這些漏洞的存在可能導致攻擊者竊取使用者的WiFi密碼,進而入侵其私人網絡,引發了對智慧物聯網(IoT)設備安全疑慮。
研究人員日前選擇了TP-Link Tapo L530E進行研究,原因是該款智慧燈泡在多個市場上均屬暢銷產品,包括電商巨頭亞馬遜。此外,Tapo應用程式在Google Play上已經擁有超過1,000萬次的安裝量,這也使得它成為研究的重點對象。
該研究在其論文中細致地列舉了Tapo L530E智慧燈泡及其應用程式中存在的四個漏洞,並且針對這些漏洞可能帶來的不良影響進行了評估。
首先,研究人員指出第一個漏洞涉及到Tapo L530E的不正確身份驗證機制,使得攻擊者能夠在會話金鑰交換階段中冒充該設備,進而竊取用戶的敏感資訊,此漏洞被評估為高嚴重性。
第二個漏洞則與硬編碼短檢查碼共享密鑰相關,攻擊者可以通過暴力破解或者反編譯Tapo應用程式來獲取該密鑰,這同樣是一個高嚴重性的漏洞。
另外,研究人員還指出了一個中等嚴重性的漏洞,涉及到對稱加密過程中缺乏隨機性,這可能導致加密方案的可預測性增加。
最後,第四個漏洞涉及到對接收消息的新鮮度缺乏檢查,這使得會話金鑰在長達24小時的時間內保持有效,攻擊者可以在此期間內對消息進行重放攻擊。
根據研究人員的描述,攻擊者可以利用這些漏洞發動多種攻擊,包括燈泡冒充攻擊、中間人攻擊(MITM)以及消息重播攻擊等,這些攻擊可能導致竊取用戶的敏感資訊、入侵私人網絡以及操控智慧燈泡等不良後果。
研究人員已經向TP-Link披露了他們的研究結果,供應商已經確認了這些漏洞,並承諾將在不久的將來透過應用程式和燈泡的硬體更新進行修復。然而,目前還不清楚這些修復措施是否已經提供,以及哪些版本的產品仍然存在安全風險。
對此,專家建議用戶應當注意智慧物聯網設備的安全性,並且在使用這些設備時採取一系列的安全措施,包括隔離關鍵網絡、使用最新的硬體更新和應用程式版本,以及啟用多重認證和強密碼保護帳戶安全。這一事件再次強調了智慧物聯網設備的安全性問題,需要供應商和用戶共同努力來確保數據的安全和隱私。
照片來源:pixabay
更多CNEWS匯流新聞網報導:
【文章轉載請註明出處】
