研究人員在 TP-Link Tapo 智能燈泡和 APP 中發(fā)現(xiàn) 4 個(gè)安全漏洞，可用于竊取目標(biāo) WiFi 密碼。

智能燈泡漏洞

【資料圖】

第一個(gè)漏洞是 Tapo L503E 智能燈泡中的認(rèn)證不當(dāng)引發(fā)的，攻擊者可以在密鑰交換過程中假冒設(shè)備，漏洞 CVSS 評分 8.8 分。攻擊者利用該漏洞可以提取 Tapo 用戶密碼并操縱 Tapo 設(shè)備。

第二個(gè)漏洞是硬編碼的校驗(yàn)和共享秘密引發(fā)的，漏洞 CVSS 評分 7.6 分。攻擊者可以通過暴力破解或反編譯 Tapo 應(yīng)用程序的方式獲取校驗(yàn)和共享秘密。

第三個(gè)漏洞是對稱加密過程中缺乏隨機(jī)性引發(fā)的，該漏洞使得所使用的加密方案可預(yù)測。

第四個(gè)漏洞是未對接收的消息的新鮮性進(jìn)行檢查，session key（會(huì)話密鑰）的有效性達(dá)到了 24 小時(shí)，攻擊者在會(huì)話密鑰有效期內(nèi)可以發(fā)起重放攻擊。

攻擊場景

對用戶影響最大的攻擊場景是利用漏洞 1 和漏洞 2 來假冒燈泡，并提取 Tapo 的用戶賬戶信息。然后攻擊者可以訪問 Tapo app，并提取受害者的 WiFi SSID 和密碼，并訪問所有連接到該 WiFi 網(wǎng)絡(luò)的設(shè)備。

要實(shí)現(xiàn)假冒攻擊，需要設(shè)備處于設(shè)置模式。但攻擊者也可以通過去除燈泡授權(quán)的方式迫使用戶重新對燈泡進(jìn)行設(shè)置。

另外一個(gè)攻擊類型是中間人攻擊（MITM）。利用漏洞 1 和攔截和操作 APP 和燈泡之間的通信，然后獲取最后用戶數(shù)據(jù)交換的 RSA 加密密鑰。

中間人攻擊還可以在 WiFi 設(shè)置階段對未配置的 Tapo 設(shè)備發(fā)起，通過橋接 2 個(gè)不同網(wǎng)絡(luò)、路由發(fā)現(xiàn)消息等方式，最終提取 base64 編碼的 Tapo 的密碼、SSID、WiFi 密碼等。

最后，利用漏洞 4 發(fā)現(xiàn)重放攻擊，重返之前嗅探到了可以改變燈泡功能的消息。

漏洞補(bǔ)丁和修復(fù)

研究人員已將相關(guān)漏洞提交給了 TP-Link，廠商也告知研究人員已經(jīng)修復(fù)了相關(guān)漏洞。但論文中未給出詳細(xì)的漏洞和補(bǔ)丁信息，以及受影響的版本。

論文下載地址：https://arxiv.org/pdf/2308.09019.pdf