研究人員在 TP-Link Tapo 智能燈泡和 APP 中發現 4 個安全漏洞,可用于竊取目标 WiFi 密碼。
TP-Link Tapo L530E 是一款銷量很高的智能燈泡,TP-link Tapo APP 是一款智能設備管理應用程序,谷歌應用商店下載量超過 1000 萬。來自意大利和英國的研究人員分析了這款智能燈泡和控制應用程序的安全性,并在其中發現了 4 個安全漏洞,攻擊者利用這些漏洞可以竊取目标的 WiFi 密碼。漏洞影響數百萬智能物聯網設備,使得用戶數據傳輸和認證存在風險。
智能燈泡漏洞
第一個漏洞是 Tapo L503E 智能燈泡中的認證不當引發的,攻擊者可以在密鑰交換過程中假冒設備,漏洞 CVSS 評分 8.8 分。攻擊者利用該漏洞可以提取 Tapo 用戶密碼并操縱 Tapo 設備。
第二個漏洞是硬編碼的校驗和共享秘密引發的,漏洞 CVSS 評分 7.6 分。攻擊者可以通過暴力破解或反編譯 Tapo 應用程序的方式獲取校驗和共享秘密。
第三個漏洞是對稱加密過程中缺乏随機性引發的,該漏洞使得所使用的加密方案可預測。
第四個漏洞是未對接收的消息的新鮮性進行檢查,session key(會話密鑰)的有效性達到了 24 小時,攻擊者在會話密鑰有效期内可以發起重放攻擊。
攻擊場景
對用戶影響最大的攻擊場景是利用漏洞 1 和漏洞 2 來假冒燈泡,并提取 Tapo 的用戶賬戶信息。然後攻擊者可以訪問 Tapo app,并提取受害者的 WiFi SSID 和密碼,并訪問所有連接到該 WiFi 網絡的設備。
圖 假冒攻擊圖
要實現假冒攻擊,需要設備處于設置模式。但攻擊者也可以通過去除燈泡授權的方式迫使用戶重新對燈泡進行設置。
另外一個攻擊類型是中間人攻擊(MITM)。利用漏洞 1 和攔截和操作 APP 和燈泡之間的通信,然後獲取最後用戶數據交換的 RSA 加密密鑰。
中間人攻擊還可以在 WiFi 設置階段對未配置的 Tapo 設備發起,通過橋接 2 個不同網絡、路由發現消息等方式,最終提取 base64 編碼的 Tapo 的密碼、SSID、WiFi 密碼等。
圖 MITM 攻擊圖
最後,利用漏洞 4 發現重放攻擊,重返之前嗅探到了可以改變燈泡功能的消息。
漏洞補丁和修複
研究人員已将相關漏洞提交給了 TP-Link,廠商也告知研究人員已經修複了相關漏洞。但論文中未給出詳細的漏洞和補丁信息,以及受影響的版本。
論文下載地址:https://arxiv.org/pdf/2308.09019.pdf