Podatność w popularnych smart-żarówkach i ich aplikacji mobilnej

Jeśli korzystasz z inteligentnej żarówki TP-Link Tapo L530 E i aplikacji TP-Link Tapo, prawdopodobnie masz możliwość wykorzystania tej sztuczki i odczytania poufnych informacji.

W sklepie Google Play możemy zauważyć, że omawiana aplikacja TP-Link Tapo została zainstalowana ponad 10 milionów razy. Jej zastosowanie jest bardziej ogólne – pozwala na skonfigurowanie różnych inteligentnych urządzeń w naszym domu w ciągu kilku minut. Opis kilku funkcjonalności poniżej:

• sterowanie inteligentnym urządzeniem z dowolnego miejsca,
• sterowanie urządzeniem za pomocą głosu poprzez Google Home i Amazon Echo,
• zaprogramowany tryb nieobecności, aby sprawiać wrażenie, że ktoś jest w domu,
• minutnik, aby automatycznie włączał i wyłączał urządzenie,
• planowanie, kiedy urządzenie ma się automatycznie włączać i wyłączać.

Wszystko w miarę standardowe, jeśli chodzi o inteligentne oświetlenie domu. Żarówki można podłączyć do routera i sterować nimi za pomocą odpowiedniej aplikacji. Niektórzy z Was z pewnością mają podobny zestaw w swoim domu. Jednak w tym przypadku włoscy badacze zwrócili uwagę na bardziej niebezpieczne kwestie i istniejące praktyki związane z inteligentnymi produktami, sprawiające, że korzystanie z nich jest potencjalnie ryzykowną opcją.

Istnieje kilka luk o dużej wadze, które umożliwiają odzyskanie hasła i manipulację urządzeniem. W sumie występują cztery problemy.

Jedna luka, z oceną CVSS 7,6, umożliwia atakującym odzyskanie kluczy weryfikacyjnych za pomocą brute force lub poprzez dekompilację samej aplikacji Tapo. Inna luka, o wysokiej ocenie CVSS 8,8, jest związana z nieprawidłowym uwierzytelnianiem żarówki, co oznacza, że można podszyć się pod urządzenie, skraść hasło Tapo i wykonać przy nim dowolną manipulację.

Pozostałe dwa problemy, już nie tak dotkliwe, związane są z brakiem kontroli otrzymywanych wiadomości pod kątem ich daty oraz brakiem losowości podczas szyfrowania.

Jaki jest potencjał szkód w przypadku poważniejszych luk? Cóż, w najgorszym przypadku ktoś mógłby wykraść hasło do Wi-Fi za pośrednictwem aplikacji Tapo, a następnie uzyskać dostęp do wszystkich urządzeń w tej sieci.

Bleeping Computer zauważa kilka błędów w takim planie ataku. Najważniejszym z nich jest to, że urządzenie IoT musiałoby znajdować się w trybie konfiguracji, aby atak był skuteczny. Nie spodziewamy się, że wiele osób będzie miało podłączone, ale nieskonfigurowane smart-żarówki, jednak atakujący jest w stanie obejść ten problem. Za pomocą kilku kliknięć w aplikacji może cofnąć uwierzytelnienie żarówki, wymuszając w ten sposób potrzebę przeprowadzenia nowej konfiguracji.

Jeśli chodzi o naprawienie luk, badacze wspominają, że do zgłoszenia wszystkich czterech problemów wykorzystali program badania podatności na ataki (ang. VRP) firmy TP-Link. Ta odpowiedziała oficjalnie, że rozpoczęła pracę nad poprawkami zarówno dla żarówki, jak i aplikacji. W chwili pisania tego tekstu nie jest podana żadna konkretna data. Sugeruje się pewne obejścia, które pozwalają naprawić te problemy, ale są one skierowane do producentów, a nie do użytkowników.

Przykład z tego artykułu to kolejny argument za tym, że powinniśmy przestrzegać zasad bezpieczeństwa podczas korzystania z dowolnego produktu podłączonego do sieci domowej. Silne hasła, uwierzytelnianie wieloskładnikowe, a nawet wyłączanie produktów, które nie będą używane przez dłuższy czas.

W przypadku powyższych problemów z TP-Link użytkownicy powinni zawsze mieć „pod ręką” oficjalną stronę internetową w celu otrzymywania powiadomień o aktualizacjach zabezpieczeń, a także w miarę możliwości sprawdzać, czy wszystkie aplikacje i oprogramowanie sprzętowe są aktualne. Powinniśmy wdrożyć taką praktykę w przypadku wszystkich innych inteligentnych urządzeń: niań, kamer internetowych czy różnorakich systemów sterowania. Inteligentne domy pozostaną na rynku i tylko od ich właścicieli zależy, czy nie umożliwią atakującym łatwego przejęcia kontroli.