蓝点网
·
TP-LINK智能灯泡被发现多个漏洞 攻击者借助漏洞可以窃取WiFi密码
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
意大利和英国的研究人员发现了TP-LINK Tapo L530E智能灯泡和Tapo应用程序中的多个漏洞,可能导致攻击者窃取用户的家庭密码。普联已确认漏洞存在,并将发布修复版本。用户应该使用独立网络隔离物联网设备,并注意物理安全,因为攻击需要在WiFi覆盖范围内进行。
🎯
关键要点
- 意大利和英国研究人员发现TP-LINK Tapo L530E智能灯泡和Tapo应用程序中的多个漏洞。
- 漏洞可能导致攻击者窃取用户的家庭密码。
- 普联确认漏洞存在,并将发布修复版本。
- 建议用户使用独立网络隔离物联网设备,注意物理安全。
- 第一个漏洞涉及不正确身份验证,CVSS评分为8.8/10。
- 第二个漏洞因硬编码的短校验和共享密钥,CVSS评分为7.6/10。
- 第三个漏洞涉及对称加密缺乏随机性。
- 第四个漏洞缺乏对接收消息的新鲜度检查,可能导致重放攻击。
- 第一和第二个漏洞的危害较高,攻击者可提取WiFi SSID和密码。
- 研究人员探索的MITM攻击可操纵灯泡与应用之间的通信。
- 普联未确认其他设备是否受影响,也未透露修复时间。
- 攻击需在WiFi覆盖范围内进行,无法远程发起。
➡️
