ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลคู่หนึ่งจากมหาวิทยาลัย Catania ร่วมมือกับเพื่อนร่วมงานจากมหาวิทยาลัยลอนดอน ค้นพบช่องโหว่สี่ช่องโหว่ในหนึ่งในหลอดไฟอัจฉริยะที่ได้รับความนิยมมากที่สุด TP-Link. Davide Bonaventura, Giampaolo Bella และ Sergio Esposito เขียนบทความที่อธิบายการทดสอบหลอดไฟอัจฉริยะและสิ่งที่พวกเขาค้นพบ
หลอดไฟอัจฉริยะ เช่น หลอดไฟจาก TP-Link อนุญาตให้ผู้ใช้ควบคุมฟังก์ชันของหลอดไฟผ่านแอปสมาร์ทโฟน คุณสมบัติเหล่านี้ได้แก่ ความสามารถในการเลือกสีของหลอดไฟ ตั้งเวลาเพื่อระบุว่าจะเปิดหรือปิดเมื่อใด และตรวจสอบการใช้พลังงาน นอกจากนี้ สามารถควบคุมหลอดไฟได้โดยตรงผ่าน Wi-Fi ซึ่งหมายความว่าหลอดไฟไม่จำเป็นต้องใช้ฮับหรือฮาร์ดแวร์อื่นๆ จากการวิจัยของทั้งสามคน คุณลักษณะสุดท้ายนี้เองที่ทำให้หลอดไฟเสี่ยงต่อแฮกเกอร์
ทดสอบหลอดไฟอัจฉริยะยอดนิยม ทาโป, L530Eนักวิจัยระบุช่องโหว่สี่ประการ หนึ่งในช่องโหว่เหล่านี้ได้รับการอธิบายว่าร้ายแรงมาก – หลอดไฟไม่มีความสามารถในการอนุญาตระหว่างมันกับแอปพลิเคชันที่เกี่ยวข้อง ซึ่งช่วยให้ทีมวิจัยสามารถปลอมตัวเป็นหลอดไฟในระหว่างการทดสอบ บันทึกรหัสผ่านที่เกี่ยวข้องกับหลอดไฟ และควบคุมการดำเนินการจากที่นั่น
ช่องโหว่ที่สองซึ่งทีมงานจัดว่าร้ายแรง ทำให้แฮกเกอร์ที่อยู่ใกล้เคียงสามารถรับรหัสลับที่ใช้ในการตรวจสอบสิทธิ์เมื่อตรวจพบอุปกรณ์ ช่องโหว่ที่สามคือการขาดการสุ่มระหว่างการเข้ารหัส ซึ่งทำให้โครงการสามารถคาดเดาได้ และช่องโหว่ที่สี่ทำให้ทีมงานสามารถเล่นข้อความที่ส่งเข้าและออกจากหลอดไฟได้
นักวิจัยทั้งสามตั้งข้อสังเกตว่าช่องโหว่ที่เกี่ยวข้องกับการแอบอ้างเป็นหลอดไฟทำให้ข้อมูลบัญชี Tapo ถูกขโมย ซึ่งสามารถนำมาใช้โดยอ้อมเพื่อเปิดเผยรหัสผ่าน Wi-Fi ที่ใช้โดยระบบ Wi-Fi ที่หลอดไฟเชื่อมต่ออยู่ เมื่อได้รับรหัสผ่านนี้แล้ว แฮกเกอร์ไม่เพียงแต่สามารถจี้เครือข่ายเพื่อการใช้งานของตนเองเท่านั้น แต่ยังอาจใช้รหัสผ่านเพื่อเข้าถึงอุปกรณ์อื่นๆ บนเครือข่ายได้อีกด้วย
ทีมวิจัยรายงานสิ่งที่พวกเขาพบไปยัง TP-Link และได้รับแจ้งว่าช่องโหว่ที่พบทั้งหมดได้รับการแก้ไขแล้ว และการแก้ไขนั้นอยู่ระหว่างการพัฒนา
อ่าน: