TP-Link 智能灯泡漏洞可窃取目标 WiFi 密码

研究人员在 TP-Link Tapo 智能灯泡和 APP 中发现 4 个安全漏洞，可用于窃取目标 WiFi 密码。

智能灯泡漏洞

【资料图】

第一个漏洞是 Tapo L503E 智能灯泡中的认证不当引发的，攻击者可以在密钥交换过程中假冒设备，漏洞 CVSS 评分 8.8 分。攻击者利用该漏洞可以提取 Tapo 用户密码并操纵 Tapo 设备。

第二个漏洞是硬编码的校验和共享秘密引发的，漏洞 CVSS 评分 7.6 分。攻击者可以通过暴力破解或反编译 Tapo 应用程序的方式获取校验和共享秘密。

第三个漏洞是对称加密过程中缺乏随机性引发的，该漏洞使得所使用的加密方案可预测。

第四个漏洞是未对接收的消息的新鲜性进行检查，session key（会话密钥）的有效性达到了 24 小时，攻击者在会话密钥有效期内可以发起重放攻击。

攻击场景

对用户影响最大的攻击场景是利用漏洞 1 和漏洞 2 来假冒灯泡，并提取 Tapo 的用户账户信息。然后攻击者可以访问 Tapo app，并提取受害者的 WiFi SSID 和密码，并访问所有连接到该 WiFi 网络的设备。

要实现假冒攻击，需要设备处于设置模式。但攻击者也可以通过去除灯泡授权的方式迫使用户重新对灯泡进行设置。

另外一个攻击类型是中间人攻击（MITM）。利用漏洞 1 和拦截和操作 APP 和灯泡之间的通信，然后获取最后用户数据交换的 RSA 加密密钥。

中间人攻击还可以在 WiFi 设置阶段对未配置的 Tapo 设备发起，通过桥接 2 个不同网络、路由发现消息等方式，最终提取 base64 编码的 Tapo 的密码、SSID、WiFi 密码等。

最后，利用漏洞 4 发现重放攻击，重返之前嗅探到了可以改变灯泡功能的消息。

漏洞补丁和修复

研究人员已将相关漏洞提交给了 TP-Link，厂商也告知研究人员已经修复了相关漏洞。但论文中未给出详细的漏洞和补丁信息，以及受影响的版本。

论文下载地址：https://arxiv.org/pdf/2308.09019.pdf