Умные лампочки TP-Link позволяют вытащить пароль от вашего Wi-Fi

Екатерина Быстрова 22 Августа 2023 - 09:37

...

Умные лампочки TP-Link позволяют вытащить пароль от вашего Wi-Fi

Итальянские и британские исследователи выявили четыре уязвимости в умных лампочках TP-Link Tapo L530E и соответствующем приложении Tapo. Эксплуатация этих багов позволяет перехватить пароль от Wi-Fi пользователя.

Стоит отметить, что умные лампочки серии Tapo L530E держат лидерство по продажам на зарубежных торговых площадках вроде Amazon. Приложение TP-link Tapo позволят управлять этими лампочками и насчитывает 10 млн установок в Google Play Store.

Именно из-за востребованности Tapo L530E специалисты решили проверить эти девайсы. Выяснилось, что умные лампочки подвергают опасности данные пользователей.

Согласно отчёту (PDF), первая уязвимость представляет собой некорректную аутентификацию в Tapo L503E. Условный атакующий может выдать себя за устройство в процессе обмена ключом сессии.

Брешь получила 8,8 балла по CVSS (высокая степень риска), в случае успешной эксплуатации она позволяет злоумышленнику вытащить пароль от аккаунта в Tapo и, соответственно, управлять умным девайсом.

Ещё один опасный баг получил 7,6 балла по CVSS, а корень его кроется в жёстко заданном в коде общем секрете с короткой контрольной суммой. Этот секрет атакующие могут вытащить с помощью брутфорса или декомпиляции приложения Tapo.

Третья проблема получила среднюю степень опасности. Она существует из-за недостаточной рандомизации в процессе симметричного шифрования. Это делает криптосхему предсказуемой.

Четвёртая уязвимость является следствием недостаточной проверки актуальности полученных сообщений. Поскольку ключи сессии остаются валидными в течение 24 часов, злоумышленники могут повторять сообщения в этом промежутке.

Наиболее опасный вектор атаки в этом случае завязан на маскировке действий атакующего под активность умной лампочки. Он позволяет вытащить из приложения Tapo учётные данные.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 21 Января 2025 - 16:33

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Корпорации Ростелеком

Утечка данных Ростелекома произошла через его подрядчиков

Группировка хактивистов Silent Crow объявила о получении доступа к данным «Ростелекома». В самой компании заявили, что причиной утечки стал подрядчик, обслуживавший атакованные интернет-ресурсы.

Информация о взломе появилась в телеграм-канале «Утечки информации». По словам злоумышленников, в их распоряжении оказались базы данных сайтов company.rt.ru и zakupki.rostelecom.ru.

В качестве доказательства хактивисты опубликовали таблицы с информацией о пользователях, заполнивших форму обратной связи.

Согласно заявлению киберпреступников, утечка затрагивает данные на 9 сентября 2024 года: 154 тысячи уникальных адресов электронной почты и 101 тысячу уникальных номеров телефонов.

Пресс-служба «Ростелекома» в комментарии для ТАСС отметила, что инциденты в информационной безопасности ранее фиксировались у подрядчика, обслуживавшего ресурсы компании.

«Наиболее вероятно, утечка произошла из инфраструктуры подрядчика», — сообщили представители компании.

В «Ростелекоме» подчеркнули, что предприняли меры для устранения угроз и проводят анализ скомпрометированных данных. По предварительным оценкам, утечки конфиденциальной информации не произошло, однако пользователям рекомендовано сбросить пароли и настроить двухфакторную аутентификацию.

Максим Степченков, совладелец интегратора IT-Task, отметил, что инцидент вызывает вопросы о надежности защиты компании, особенно учитывая статус «Ростелекома» как одного из крупнейших игроков на рынке информационной безопасности.

«Важно понять, как именно произошел взлом, ведь это повлияет не только на репутацию компании, но и на восприятие других поставщиков подобных услуг. Ключевая задача сейчас — определить все векторы атак и предпринять меры для предотвращения подобных инцидентов в будущем», — подчеркнул он.

Технический директор IT-Task Антон Антропов обратил внимание на недостаточную защиту второстепенных элементов сайта.

«Формы обратной связи часто игнорируются при разработке комплексной защиты, хотя они содержат данные пользователей: имена, телефоны, адреса электронной почты. Этот случай показывает, что взломщики не пренебрегают ни одним элементом. Защищать нужно все участки системы одинаково качественно», — отметил он.

Инцидент стал наглядным напоминанием о необходимости комплексного подхода к защите данных, особенно для таких крупных компаний, как «Ростелеком».