TP-Link智能燈泡漏洞可竊取目標WiFi密碼

研究人員在TP-Link Tapo智能燈泡和APP中發現4個安全漏洞，可用于竊取目標WiFi密碼。

TP-Link Tapo L530E是一款銷量很高的智能燈泡，TP-link Tapo APP是一款智能設備管理應用程序，谷歌應用商店下載量超過1000萬。來自意大利和英國的研究人員分析了這款智能燈泡和控制應用程序的安全性，并在其中發現了4個安全漏洞，攻擊者利用這些漏洞可以竊取目標的WiFi密碼。漏洞影響數百萬智能物聯網設備，使得用戶數據傳輸和認證存在風險。

智能燈泡漏洞

第一個漏洞是Tapo L503E智能燈泡中的認證不當引發的，攻擊者可以在密鑰交換過程中假冒設備，漏洞CVSS評分8.8分。攻擊者利用該漏洞可以提取Tapo用戶密碼并操縱Tapo設備。

第二個漏洞是硬編碼的校驗和共享秘密引發的，漏洞CVSS評分7.6分。攻擊者可以通過暴力破解或反編譯Tapo應用程序的方式獲取校驗和共享秘密。

第三個漏洞是對稱加密過程中缺乏隨機性引發的，該漏洞使得所使用的加密方案可預測。

第四個漏洞是未對接收的消息的新鮮性進行檢查，session key（會話密鑰）的有效性達到了24小時，攻擊者在會話密鑰有效期內可以發起重放攻擊。

攻擊場景

對用戶影響最大的攻擊場景是利用漏洞1和漏洞2來假冒燈泡，并提取Tapo的用戶賬戶信息。然后攻擊者可以訪問Tapo app，并提取受害者的WiFi SSID和密碼，并訪問所有連接到該WiFi網絡的設備。

圖 假冒攻擊圖

要實現假冒攻擊，需要設備處于設置模式。但攻擊者也可以通過去除燈泡授權的方式迫使用戶重新對燈泡進行設置。

另外一個攻擊類型是中間人攻擊（MITM）。利用漏洞1和攔截和操作APP和燈泡之間的通信，然后獲取最后用戶數據交換的RSA加密密鑰。

中間人攻擊還可以在WiFi設置階段對未配置的Tapo設備發起，通過橋接2個不同網絡、路由發現消息等方式，最終提取base64編碼的Tapo的密碼、SSID、WiFi密碼等。

圖 MITM攻擊圖

最后，利用漏洞4發現重放攻擊，重返之前嗅探到了可以改變燈泡功能的消息。

漏洞補丁和修復

研究人員已將相關漏洞提交給了TP-Link，廠商也告知研究人員已經修復了相關漏洞。但論文中未給出詳細的漏洞和補丁信息，以及受影響的版本。

論文下載地址：https://arxiv.org/pdf/2308.09019.pdf