新华社体育2024年11月16日发布新澳门资料大全正版资料六肖: 开灯也会让Wi-Fi密码被窃!网络热卖的TP-Link智能灯泡有安全漏洞
作者:玛丽·洛伊恩贝格尔 | 责任编辑:Admin
本文点赞(38) | 阅读:(56)
【2024新澳精准资料免费提供下载】 |
【新奥天天免费资料大全正版优势】 |
【澳门今天六开彩正版资料图库】 |
【2024资科大全正版资料】 |
【澳门2O24年全免咨料】 |
【2024澳门正版资料正版】 |
【7777788888王中王最新传真1028】 |
【新澳门彩最新开奖记录查询表图片】 |
【2024港澳免费资料】 |
【2024澳门码今晚开奖结果】 |
尽管智能灯泡早已成为黑客攻击的目标之一,但使用者依旧缺乏对于这方面的安全意识与警觉性。 这次有安全疑虑的主角是长久在亚马逊等多个电商平台上深受欢迎的最畅销智能灯泡TP-Link TapoL530E,来自意大利和英国的研究人员在该灯泡韧体和搭配的TapoApp中发现4个安全漏洞,黑客有可能借此窃取到用户的Wi-Fi密码。
意大利卡塔尼亚大学(Universita di Catania)与英国伦敦大学(University of London)的研究人员特别在研究论文中强调,TP-Link Tapo L530E 是一款热门的智能灯泡,因为它不仅是各大电商平台最畅销的 IoT 商品,同时其所搭配的 Tapo App 在 Google Play 的下载安装量也达到惊人的 1,000 万次。 正因为该灯泡够热门,对黑客而言才有攻击的价值与效益,这也凸显出当前数量庞大的 IoT 设备存在许多安全风险。
同时发现4个安全漏洞,其中有2个具备高严重性安全风险
第一个漏洞是 Taop L530E 上不正确的身份验证漏洞,这使得攻击者可以在会话密钥(Session Key)交换步骤期间模拟该装置。 通用漏洞评系统(CVSS)v3.1 对该漏洞的风险评分为 8.8,属于高严重性漏洞,攻击者可藉以检索 Tapo 用户密码,并操控 Tapo 智能灯泡。
第二个漏洞是由硬编码短检查码共享密钥所引起的高严重性漏洞(CVSS v3.1 风险评分 7.6),攻击者可以透过暴力破解或对 Tapo App 进行反编译(decompiling)来获得该密钥。
第三个是中度严重性的安全漏洞,其涉及对称加密过程中随机性不足,进而导致加密方案变得可预测。 至于第四个安全漏洞源于未对所接收讯息的新鲜度进行检查,使得会话密钥在长达 24 小时的时间内一直有效,攻击者可借此在该期间内回放讯息。
网络其他设备也能存取,在App与灯泡之间发动中间人攻击
前述漏洞中最令人担忧的莫过于第一及第二个漏洞,黑客可藉此模拟智能灯泡并检索 Tapo 用户帐号细节。 紧接着通过访问Tapo App,骇客可以劫取受害者 Wi-Fi SSID 和密码,并获得连接到该网络上所有其他设备的访问权限。
虽然只有在装置处于设定模式下,骇客才能发动有效攻击。 但事实上,黑客只需取消对该灯泡的认证,便能迫使用户重新设定灯泡(进入设定模式)以恢复功能。
此外,骇客也可透过中间人攻击(MITM)劫取资料,做法是使用配置好的TapoL530E智能灯泡,利用第一个漏洞拦刼并操控App与灯泡之间的通讯,进而劫取到用于后续数据交换的RSA加密密钥。 值得一提的,第四个漏洞允许攻击者发动重放攻击(replay attack),便可复制之前监听过的讯息,进而实现装置功能的变更。
针对四个安全漏洞,研究人员已通报 TP-Link,该公司回复会很快对 App 与固件进行更新修补。 对于用户而言,为了确保安全,最好将 IoT 设备与关键网络隔离开来。 此外,定期更新装置之最新版本固件或App应用修补程序,同时采用强式密码或多因素身份认证机制都是确保资安的基本做法。
【澳门正版全年资料期期准】 | 【新澳天天开奖免费资料大全最新】 | 【港澳资料大全】 | 【2004新奥精准资料免费提供】 | 【新澳精选资料免费提供】 | 【新澳门特马走式图片大全】 | 【新澳天天免费资料单双】 | 【新奥最快最准免费资料】 |
推荐文章
“臭水塘”蝶变美丽“生态塘” 南宁人大推动民生实事“落地有声”
5分钟前:至于第四个安全漏洞源于未对所接收讯息的新鲜度进行检查,使得会话密钥在长达 24 小时的时间内一直有效,攻击者可借此在该期间内回放讯息。...
老美要干什么?43只实验猴从实验室逃脱,会携带致命病毒吗?
9分钟前:但事实上,黑客只需取消对该灯泡的认证,便能迫使用户重新设定灯泡(进入设定模式)以恢复功能。...
A股或迎来第二波爆发,财政部大招来了!释放扩张性财政政策信号,“规模”悬念将在未来两周内落地
6分钟前:前述漏洞中最令人担忧的莫过于第一及第二个漏洞,黑客可藉此模拟智能灯泡并检索 Tapo 用户帐号细节。...
冲上热搜!女子被关精神病院十年,只因父母不肯签字,评论区炸锅3年前,宁夏7岁小女孩一笑走红,后拒百万签约,如今怎么样了?
1分钟前:虽然只有在装置处于设定模式下,骇客才能发动有效攻击。...
最新评论
燕昭公 2024-11-15 22:21
此外,定期更新装置之最新版本固件或App应用修补程序,同时采用强式密码或多因素身份认证机制都是确保资安的基本做法。
IP:26.78.1.*
建泽正 2024-11-15 13:17
此外,骇客也可透过中间人攻击(MITM)劫取资料,做法是使用配置好的TapoL530E智能灯泡,利用第一个漏洞拦刼并操控App与灯泡之间的通讯,进而劫取到用于后续数据交换的RSA加密密钥。
IP:57.73.4.*
扈载 2024-11-15 19:18
8,属于高严重性漏洞,攻击者可藉以检索 Tapo 用户密码,并操控 Tapo 智能灯泡。
IP:93.34.9.*