La ricerca congiunta dell’Università di Catania e dell’Università di Londra ha portato alla scoperta di quattro vulnerabilità che riguardano la lampadina smart TP-Link Tapo L530E e la relativa app di controllo che potrebbero consentire agli attaccanti di carpire la password WiFi degli utenti.
TP-Link Tapo
TP-Link Tapo L530E è una delle lampadina smart popolare anche su Amazon e la sua applicazione mobile utilizzata per controllare i dispositivi conta 10 milioni di installazioni sul Play Store.
Le vulnerabilità
La prima vulnerabilità è un problema di autenticazione impropria su Tapo L503E, un utente malintenzionato può sfruttare il problema per impersonare il dispositivo durante la fase di scambio della chiave di sessione. La vulnerabilità ha ricevuto un punteggio CVSS di 8,8.
Anche il secondo difetto è un problema di elevata gravità (punteggio CVSS di 7,6) derivante da un breve segreto condiviso con checksum codificato, che gli aggressori possono ottenere tramite brute force o decompilando l’app Tapo.
Il terzo problema è un difetto di media gravità riguardante la mancanza di casualità durante la crittografia simmetrica che rende prevedibile lo schema crittografico. Il difetto ha ricevuto un punteggio CVSS di 4,6.
Infine, un quarto problema deriva dalla mancanza di controlli sull’aggiornamento dei messaggi ricevuti, mantenendo le chiavi di sessione valide per 24 ore e consentendo agli aggressori di riprodurre i messaggi durante tutto il periodo .
Non dare niente per scontato
I ricercatori hanno condiviso i loro risultati con TP-Link secondo il programma di segnalazione responsabile delle vulnerabilità dell’azienda.
“Un modo per interpretare tali risultati potrebbe essere che i “piccoli” dispositivi IoT potrebbero aver suscitato finora un’attenzione insufficiente in materia di sicurezza informatica, ovvero misure di sicurezza informatica insufficienti a causa del preconcetto secondo cui potrebbe non valere la pena hackerarli o sfruttarli. Il nostro lavoro definisce questo preconcetto come sbagliato, almeno perché la portata dei nostri attacchi si estende a tutti i dispositivi della famiglia Tapo che una vittima può utilizzare e, soprattutto, potenzialmente all’intera rete Wi-Fi della vittima, a cui l’aggressore è in grado di accedere“, concludono i ricercatori.
Il 23 agosto 2023 TP-Link ha rilasciato nuovi firmware e app per correggere le vulnerabilità pubblicando un bollettino di sicurezza.
Si consiglia pertanto a tutti gli utilizzatori di aggiornare dispositivi e app alle versioni più recenti.