Dvojica špecialistov na informačnú bezpečnosť z University of Catania v spolupráci s kolegom z University of London objavila štyri zraniteľnosti v jednej z najpopulárnejších inteligentných žiaroviek. TP-Link. Davide Bonaventura, Giampaolo Bella a Sergio Esposito napísali článok, v ktorom opísali svoje testovanie inteligentnej žiarovky a to, čo objavili.
Inteligentné žiarovky, ako napríklad tie od TP-Link, umožňujú používateľom ovládať funkcie žiarovky prostredníctvom aplikácie v smartfóne. Medzi tieto funkcie patrí možnosť vybrať si farbu žiarovky, naplánovať časovač, ktorý indikuje, kedy ju treba zapnúť alebo vypnúť, a sledovať spotrebu energie. Žiarovky je možné ovládať aj priamo cez Wi-Fi, čo znamená, že nevyžadujú rozbočovač ani iný hardvér. Práve táto posledná funkcia podľa výskumného tria robí žiarovku zraniteľnou voči hackerom.
Testovanie najpopulárnejšej inteligentnej žiarovky Tapo, L530E, výskumníci identifikovali štyri zraniteľné miesta. Jedna z týchto zraniteľností bola opísaná ako veľmi vážna – žiarovka nemala žiadnu autorizačnú schopnosť medzi ňou a pridruženou aplikáciou. To umožnilo výskumnému tímu zosobniť žiarovku počas testovacej relácie, zaznamenať heslo spojené so žiarovkou a odtiaľ ovládať jej činnosti.
Druhá zraniteľnosť, ktorú tím klasifikoval ako vážnu, umožnila hackerom, ktorí boli nablízku, získať tajný kód používaný na autentifikáciu, keď bolo zariadenie detekované. Treťou zraniteľnosťou bola nedostatočná náhodnosť počas šifrovania, vďaka čomu bola schéma predvídateľná a štvrtá zraniteľnosť umožnila tímu prehrať správy odoslané do a zo žiarovky.
Trojica výskumníkov poznamenáva, že zraniteľnosť súvisiaca s vydávaním sa za žiarovku umožňuje odcudzenie informácií o účte Tapo, ktoré možno nepriamo použiť na odhalenie hesla Wi-Fi používaného systémom Wi-Fi, ku ktorému bola žiarovka pripojená. Po získaní tohto hesla mohli hackeri nielen prepadnúť sieť pre vlastnú potrebu, ale tiež ju potenciálne použiť na prístup k iným zariadeniam v sieti.
Výskumný tím oznámil, čo zistil, spoločnosti TP-Link a bolo mu povedané, že všetky nájdené zraniteľnosti boli opravené a opravy sú vo vývoji.
Prečítajte si tiež: