來自意大利和英國的研究人員在 TP-Link Tapo L530E 智能燈泡和 TP-Link Tapo 應(yīng)用程序中發(fā)現(xiàn)了4個(gè)漏洞，攻擊者可以利用這些漏洞竊取目標(biāo)的 WiFi 密碼。

TP-Link  Tapo L530E 是包括亞馬遜在內(nèi)的多個(gè)市場上最暢銷的智能燈泡。TP-link Tapo是一款智能設(shè)備管理應(yīng)用程序，在Google Play上擁有1000萬安裝量 。

智能燈泡缺陷

第一個(gè)漏洞涉及 Tapo L503E 上的不正確身份驗(yàn)證，允許攻擊者在會(huì)話密鑰交換步驟中冒充設(shè)備。此高嚴(yán)重性漏洞（CVSS v3.1 評分：8.8）允許相鄰攻擊者檢索 Tapo 用戶密碼并操縱 Tapo 設(shè)備。

第二個(gè)漏洞也是一個(gè)高嚴(yán)重性漏洞（CVSS v3.1 得分：7.6），由硬編碼的短校驗(yàn)和共享密鑰引起，攻擊者可以通過暴力破解或反編譯 Tapo 應(yīng)用程序來獲取該密鑰。

第三個(gè)漏洞是一個(gè)中等嚴(yán)重性缺陷，涉及對稱加密過程中缺乏隨機(jī)性，使得加密方案可預(yù)測。

第四個(gè)漏洞源于缺乏對接收消息的新鮮度的檢查，保持會(huì)話密鑰在 24 小時(shí)內(nèi)有效，并允許攻擊者在此期間重放消息。

攻擊場景

研究發(fā)現(xiàn)，最令人擔(dān)憂的攻擊場景是利用上述的第一個(gè)和第二個(gè)漏洞進(jìn)行燈泡冒充和檢索 Tapo 用戶帳戶詳細(xì)信息，然后通過訪問 Tapo 應(yīng)用程序，攻擊者可以提取受害者的 WiFi SSID 和密碼，并獲得連接到該網(wǎng)絡(luò)的所有其他設(shè)備的訪問權(quán)限。

設(shè)備需要處于設(shè)置模式才能使攻擊起作用。然而，攻擊者可以取消燈泡的認(rèn)證，迫使用戶重新設(shè)置以恢復(fù)其功能。

燈泡模擬圖

而未配置的 Tapo 設(shè)備也可能受到 MITM 攻擊，方法是再次利用第一個(gè)漏洞，在設(shè)置過程中連接到 WiFi、橋接兩個(gè)網(wǎng)絡(luò)并路由發(fā)現(xiàn)信息，最終以易于破譯的 base64 編碼形式檢索 Tapo 密碼、SSID 和 WiFi 密碼。

MITM 攻擊圖

最后，第四個(gè)漏洞允許攻擊者發(fā)起重放攻擊，復(fù)制之前嗅探到的消息以實(shí)現(xiàn)設(shè)備的功能更改。

披露和修復(fù)

研究人員在發(fā)現(xiàn)這些漏洞后向 TP-Link 進(jìn)行了披露，對方承認(rèn)了這些問題的存在，并告知將很快對應(yīng)用程序和燈泡固件進(jìn)行修復(fù)。在這之前，研究人員建議用戶將這些類型的設(shè)備與關(guān)鍵網(wǎng)絡(luò)隔離，使用最新的可用固件更新和配套應(yīng)用程序版本，并使用 MFA 和強(qiáng)密碼保護(hù)帳戶。