TP-LINK Tapo L530E 智能灯泡现安全漏洞,黑客可用于窃取 WiFi 密码
发表于:2024-09-21 作者:千家信息网编辑
千家信息网最后更新 2024年09月21日,感谢CTOnews.com网友 Alejandro86 的线索投递!CTOnews.com 8 月 22 日消息,意大利和英国的研究人员日前在 TP-Link Tapo L530E 智能灯泡和 TP-
千家信息网最后更新 2024年09月21日TP-LINK Tapo L530E 智能灯泡现安全漏洞,黑客可用于窃取 WiFi 密码▲ 图源 亚马逊美国 ▲ 图源 bleepingcomputer
感谢CTOnews.com网友 Alejandro86 的线索投递!
CTOnews.com 8 月 22 日消息,意大利和英国的研究人员日前在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了 4 个漏洞,黑客可以利用这些漏洞窃取目标的 WiFi 密码,相关论文已经发布在 ArXiv 上。
据悉,TP-Link Tapo L530E 是亚马逊海外市场上相当畅销的一款智能灯泡,CTOnews.com经过查询得知,该灯泡 2 个装售价为 24.99 美元(当前约 182 元人民币),在亚马逊美国评价为 4.1 分(满分 5 分),有 4185 条评价。
研究人员介绍漏洞内容如下:
第一个漏洞涉及 Tapo L503E 上的不正确身份验证,允许黑客在会话密钥交换步骤中冒充设备。此高严重性漏洞(CVSS v3.1 评分:8.8)允许相邻攻击者检索 Tapo 用户密码并操纵 Tapo 设备。
第二个漏洞也是一个高严重性漏洞(CVSS v3.1 得分:7.6),由硬编码的短校验和共享密钥引起,黑客可以通过暴力破解或反编译 Tapo 应用程序来获取该密钥。
第三个漏洞是一个中等严重性缺陷,涉及对称加密过程中缺乏随机性,使得加密方案可预测。
第四个漏洞源于缺乏对接收消息的新鲜度的检查,保持会话密钥在 24 小时内有效,并允许攻击者在此期间重放消息。
研究人员在发现这些漏洞后向 TP-Link 进行了披露,对方承认了这些问题的存在,并告知将很快对应用程序和灯泡固件进行修复。
在这之前,研究人员建议用户将这些类型的设备与关键网络隔离,使用最新的可用固件更新和配套应用程序版本,并使用二次验证和强密码保护帐户。
漏洞
灯泡
人员
密钥
应用程序
研究人员
程序
应用
研究
密码
黑客
严重性
消息
设备
亚马
亚马逊
智能
固件
攻击者
用户
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
天津星际ipfs服务器云空间
数据库索引的场景
中宏产业数据库 账号
对网络安全的危害
杰克缝纫机 软件开发咋样
济南市易拓网络技术有限公司
内部软件开发流程
转接服务器
软件开发工程师职责 任务
测试网络安全方案
通过竞赛检验网络安全技能水平
redmi移动网络无法连接到服务器
上海网络技术开发计划
数据库设计开发与应用笔记
中山市王震互联网科技
天水起点网络技术有限公司6
新技术新应用网络安全审查
联想服务器管理口可以吗
网络安全红蓝军机制
农发行网络安全宣传简报
通过网络技术获取红包违法
重庆工业软件开发价位
网安支队开展网络安全知识讲座
什么服务器玩3a大作
数据库视图修改数据遵循哪些准则
金蝶服务器id地址怎么查
重生互联网科技小说排行榜
企业网络安全的好处
云服务器共享公司文件
武汉网络安全谷展示中心
相关文章
- 25 周年纪念作,情怀拉满但诚意欠缺:《勇者斗恶龙 怪物仙境 3》
- 联想拯救者 Y700 2023 平板推送 ZUI 15.0.723 系统灰度测试:新增“USB 网络共享”,优化底部小白条
- Streacom 推出 SG10 高端被动散热机箱:可解热 600W,1300 美元
- 3D 角色扮演策略游戏《少女前线 2:追放》公测开启,安卓、iOS、PC 多端互通
- 新能源车市:价格战开局,价值战结束
- 雪天这样拍,照片更为味道
- Cybertruck:未来物种重新定义汽车
- 2022 年我国未成年网民规模突破 1.93 亿,普及率达 97.2%
- 上映 7 天,《名侦探柯南:黑铁的鱼影》内地票房破亿、豆瓣 6.6 分
- 小岛工作室推出《死亡搁浅》联名手机手柄,预计明年发售