研究人員在 TP-Link Tapo 智能燈泡和 APP 中發(fā)現(xiàn) 4 個安全漏洞，可用于竊取目標 WiFi 密碼。

智能燈泡漏洞

【資料圖】

第一個漏洞是 Tapo L503E 智能燈泡中的認證不當引發(fā)的，攻擊者可以在密鑰交換過程中假冒設備，漏洞 CVSS 評分 8.8 分。攻擊者利用該漏洞可以提取 Tapo 用戶密碼并操縱 Tapo 設備。

第二個漏洞是硬編碼的校驗和共享秘密引發(fā)的，漏洞 CVSS 評分 7.6 分。攻擊者可以通過暴力破解或反編譯 Tapo 應用程序的方式獲取校驗和共享秘密。

第三個漏洞是對稱加密過程中缺乏隨機性引發(fā)的，該漏洞使得所使用的加密方案可預測。

第四個漏洞是未對接收的消息的新鮮性進行檢查，session key（會話密鑰）的有效性達到了 24 小時，攻擊者在會話密鑰有效期內可以發(fā)起重放攻擊。

攻擊場景

對用戶影響最大的攻擊場景是利用漏洞 1 和漏洞 2 來假冒燈泡，并提取 Tapo 的用戶賬戶信息。然后攻擊者可以訪問 Tapo app，并提取受害者的 WiFi SSID 和密碼，并訪問所有連接到該 WiFi 網(wǎng)絡的設備。

要實現(xiàn)假冒攻擊，需要設備處于設置模式。但攻擊者也可以通過去除燈泡授權的方式迫使用戶重新對燈泡進行設置。

另外一個攻擊類型是中間人攻擊（MITM）。利用漏洞 1 和攔截和操作 APP 和燈泡之間的通信，然后獲取最后用戶數(shù)據(jù)交換的 RSA 加密密鑰。

中間人攻擊還可以在 WiFi 設置階段對未配置的 Tapo 設備發(fā)起，通過橋接 2 個不同網(wǎng)絡、路由發(fā)現(xiàn)消息等方式，最終提取 base64 編碼的 Tapo 的密碼、SSID、WiFi 密碼等。

最后，利用漏洞 4 發(fā)現(xiàn)重放攻擊，重返之前嗅探到了可以改變燈泡功能的消息。

漏洞補丁和修復

研究人員已將相關漏洞提交給了 TP-Link，廠商也告知研究人員已經(jīng)修復了相關漏洞。但論文中未給出詳細的漏洞和補丁信息，以及受影響的版本。

論文下載地址：https://arxiv.org/pdf/2308.09019.pdf