Tre ricercatori italiani delle università di Catania e Londra hanno scoperto quattro gravi vulnerabilità nella lampadina TP-Link Tapo L530E, una delle più vendute su Amazon. Un malintenzionato potrebbe rubare la password WiFi della rete locale e quindi eseguire varie attività pericolose. La ricerca evidenzia i rischi associati alla scarsa sicurezza dei dispositivi IoT presenti ormai in tutte le abitazioni.
TP-Link aggiornerà firmware e app
La TP-Link Tapo L530E è una lampadina a LED multicolore. Utilizzando l’app Tapo per Android e iOS è possibile scegliere colore, temperatura e luminosità, programmare accensione e spegnimento in base all’orario e al momento del tramonto o dell’alba. Supporta inoltre i comandi vocali di Amazon Alexa e Google Assistant. La configurazione iniziale prevede la creazione di un account TP-Link e il collegamento alla rete WiFi.
La vulnerabilità più grave (punteggio CVSS 8.8) consente ad un malintenzionato nel range di copertura WiFi di impersonare la lampadina smart e ricevere le credenziali dell’utente e la password WiFi dall’app Tapo. Durante la procedura di setup iniziale o con un attacco di de-autenticazione è possibile ricevere la chiave di sessione (attacco man-in-the-middle).
La seconda vulnerabilità (CVSS 7.6) permette di scoprire la chiave “hard-coded” scambiata tra lampadina e app per l’autenticazione. La terza vulnerabilità (CVSS 4.6) consente di individuare lo schema crittografico dei messaggi scambiati tra app e dispositivo, in quanto non casuali. Infine, la quarta vulnerabilità (CVSS 5.7) permette di intercettare i suddetti messaggi perché la chiave di sessione è valida 24 ore.
I ricercatori hanno effettuato vari test utilizzando la versione 1.0.0 della lampadina con firmware 1.1.9. Durante un attacco è possibile recuperare SSID e password della rete WiFi dall’app Tapo e quindi di accedere a tutti i dispositivi connessi alla stessa rete.
I ricercatori suggeriscono fix specifici per le quattro vulnerabilità. TP-Link ha promesso il rilascio di nuove versioni di app e firmware.