Et par informasjonssikkerhetsspesialister fra University of Catania oppdaget i samarbeid med en kollega fra University of London fire sårbarheter i en av de mest populære smartpærene TP-Link. Davide Bonaventura, Giampaolo Bella og Sergio Esposito skrev en artikkel som beskrev deres testing av den smarte lyspæren og hva de oppdaget.
Smarte pærer, som de fra TP-Link, lar brukere kontrollere pærens funksjoner via en smarttelefonapp. Disse funksjonene inkluderer muligheten til å velge farge på lyspæren, planlegge en tidtaker for å indikere når den skal slås på eller av, og overvåke energiforbruket. Pærene kan også styres direkte via Wi-Fi, noe som betyr at de ikke krever en hub eller annen maskinvare. Det er denne siste funksjonen, ifølge forskertrioen, som gjør lyspæren sårbar for hackere.
Tester den mest populære smarte lyspæren Tapo, L530E, identifiserte forskere fire sårbarheter. En av disse sårbarhetene ble beskrevet som svært alvorlig – lyspæren hadde ingen autorisasjonsevne mellom seg og den tilhørende applikasjonen. Dette tillot forskerteamet å etterligne lyspæren under en testøkt, registrere passordet knyttet til lyspæren og kontrollere handlingene derfra.
Den andre sårbarheten, som teamet klassifiserte som alvorlig, tillot hackere som var i nærheten å få tak i den hemmelige koden som ble brukt for autentisering når enheten ble oppdaget. Den tredje sårbarheten var mangelen på tilfeldighet under kryptering, noe som gjorde ordningen forutsigbar, og den fjerde sårbarheten tillot teamet å spille av meldinger sendt til og fra lyspæren.
Forskertrioen bemerker at sårbarheten knyttet til å etterligne lyspæren gjør at Tapo-kontoinformasjon kan stjeles, som indirekte kan brukes til å avsløre Wi-Fi-passordet som ble brukt av Wi-Fi-systemet som lyspæren var koblet til. Når dette passordet ble oppnådd, kunne hackere ikke bare kapre nettverket for eget bruk, men også potensielt bruke det for å få tilgang til andre enheter på nettverket.
Forskerteamet rapporterte det de fant til TP-Link og ble fortalt at alle sårbarhetene som ble funnet var fikset og at rettelser var under utvikling.
Les også: