当前位置:首页 >时尚 >TP-LINK Tapo L530E 智能灯泡现安全漏洞,黑客可用于窃取 WiFi 密码 正文

TP-LINK Tapo L530E 智能灯泡现安全漏洞,黑客可用于窃取 WiFi 密码

来源:俊洪快讯网   作者:知识   时间:2024-03-29 01:53:06
8 月 22 日消息,灯泡洞黑意大利和英国的现安研究人员日前在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了 4 个漏洞,黑客可以利用这些漏洞窃取目标的全漏窃太后侄女不好嫁 WiFi 密码,相关论文已经发布在 ArXiv 上。用于

据悉,密码TP-Link Tapo L530E 是灯泡洞黑亚马逊海外市场上相当畅销的一款智能灯泡,经过查询得知,现安该灯泡 2 个装售价为 24.99 美元(当前约 182 元人民币),全漏窃在亚马逊美国评价为 4.1 分(满分 5 分),用于太后侄女不好嫁有 4185 条评价。密码

▲ 图源 亚马逊美国

研究人员介绍漏洞内容如下:

第一个漏洞涉及 Tapo L503E 上的灯泡洞黑不正确身份验证,允许黑客在会话密钥交换步骤中冒充设备。现安此高严重性漏洞(CVSS v3.1 评分:8.8)允许相邻攻击者检索 Tapo 用户密码并操纵 Tapo 设备。全漏窃

第二个漏洞也是用于一个高严重性漏洞(CVSS v3.1 得分:7.6),由硬编码的密码短校验和共享密钥引起,黑客可以通过暴力破解或反编译 Tapo 应用程序来获取该密钥。

第三个漏洞是一个中等严重性缺陷,涉及对称加密过程中缺乏随机性,使得加密方案可预测。

第四个漏洞源于缺乏对接收消息的新鲜度的检查,保持会话密钥在 24 小时内有效,并允许攻击者在此期间重放消息。

▲ 图源 bleepingcomputer

研究人员在发现这些漏洞后向 TP-Link 进行了披露,对方承认了这些问题的存在,并告知将很快对应用程序和灯泡固件进行修复。

在这之前,研究人员建议用户将这些类型的设备与关键网络隔离,使用最新的可用固件更新和配套应用程序版本,并使用二次验证和强密码保护帐户。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,所有文章均包含本声明。

标签:

责任编辑:时尚