TP-Link 智能灯泡缺陷能让黑客窃取用户 WiFi 密码
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
意大利和英国的研究人员发现了TP-Link Tapo L530E智能灯泡和Tapo应用程序中的4个漏洞,攻击者可以利用这些漏洞窃取WiFi密码。研究人员已向TP-Link披露了这些漏洞,并建议用户隔离设备,更新固件和应用程序,并使用多因素认证和强密码保护帐户。
🎯
关键要点
- 意大利和英国研究人员发现TP-Link Tapo L530E智能灯泡和Tapo应用程序中的4个漏洞。
- 攻击者可以利用这些漏洞窃取目标的WiFi密码。
- 第一个漏洞涉及不正确身份验证,允许攻击者冒充设备并检索用户密码。
- 第二个漏洞是硬编码的短校验和共享密钥,攻击者可通过暴力破解获取该密钥。
- 第三个漏洞涉及对称加密缺乏随机性,使加密方案可预测。
- 第四个漏洞源于缺乏对接收消息的新鲜度检查,允许重放攻击。
- 攻击者可以利用第一个和第二个漏洞进行灯泡冒充,提取用户WiFi SSID和密码。
- 未配置的Tapo设备可能受到MITM攻击,导致WiFi密码泄露。
- 研究人员已向TP-Link披露漏洞,TP-Link承认并将进行修复。
- 建议用户隔离设备,更新固件和应用程序,并使用多因素认证和强密码保护账户。
➡️
