Dvojica strokovnjakov za informacijsko varnost z Univerze v Catanii je v sodelovanju s kolegom z Univerze v Londonu odkrila štiri ranljivosti v eni najbolj priljubljenih pametnih žarnic. TP-Link. Davide Bonaventura, Giampaolo Bella in Sergio Esposito so napisali članek, v katerem opisujejo svoje testiranje pametne žarnice in kaj so odkrili.
Pametne žarnice, kot so tiste iz TP-Linka, omogočajo uporabnikom nadzor nad funkcijami žarnice prek aplikacije za pametni telefon. Te funkcije vključujejo možnost izbire barve žarnice, razporejanje časovnika, ki prikazuje, kdaj jo vklopiti ali izklopiti, in spremljanje porabe energije. Žarnice je mogoče upravljati tudi neposredno prek Wi-Fi, kar pomeni, da ne potrebujejo zvezdišča ali druge strojne opreme. Po mnenju raziskovalnega tria je ta zadnja lastnost tista, zaradi katere je žarnica ranljiva za hekerje.
Testiranje najbolj priljubljene pametne žarnice Tapo, L530E, so raziskovalci identificirali štiri ranljivosti. Ena od teh ranljivosti je bila opisana kot zelo resna – žarnica ni imela možnosti avtorizacije med njo in povezano aplikacijo. To je raziskovalni skupini omogočilo, da je med preskusno sejo posnemala žarnico, zabeležila geslo, povezano z žarnico, in od tam nadzorovala njena dejanja.
Druga ranljivost, ki jo je skupina označila za resno, je hekerjem, ki so bili v bližini, omogočila pridobitev skrivne kode, uporabljene za preverjanje pristnosti, ko je bila naprava zaznana. Tretja ranljivost je bila pomanjkanje naključnosti med šifriranjem, zaradi česar je bila shema predvidljiva, četrta ranljivost pa je ekipi omogočila ponovno predvajanje sporočil, poslanih v in iz žarnice.
Trio raziskovalcev ugotavlja, da ranljivost, povezana z lažnim predstavljanjem žarnice, omogoča krajo informacij o računu Tapo, ki se lahko posredno uporabijo za razkritje gesla za Wi-Fi, ki ga uporablja sistem Wi-Fi, na katerega je bila žarnica povezana. Ko je bilo to geslo pridobljeno, hekerji niso mogli samo ugrabiti omrežja za lastno uporabo, ampak ga potencialno uporabiti tudi za dostop do drugih naprav v omrežju.
Raziskovalna skupina je o tem, kar je odkrila, poročala TP-Linku in povedali so ji, da so bile vse najdene ranljivosti odpravljene in da so popravki v razvoju.
Preberite tudi: