Умные лампочки TP-Link позволяют вытащить пароль от вашего Wi-Fi

Умные лампочки TP-Link позволяют вытащить пароль от вашего Wi-Fi

Умные лампочки TP-Link позволяют вытащить пароль от вашего Wi-Fi

Итальянские и британские исследователи выявили четыре уязвимости в умных лампочках TP-Link Tapo L530E и соответствующем приложении Tapo. Эксплуатация этих багов позволяет перехватить пароль от Wi-Fi пользователя.

Стоит отметить, что умные лампочки серии Tapo L530E держат лидерство по продажам на зарубежных торговых площадках вроде Amazon. Приложение TP-link Tapo позволят управлять этими лампочками и насчитывает 10 млн установок в Google Play Store.

Именно из-за востребованности Tapo L530E специалисты решили проверить эти девайсы. Выяснилось, что умные лампочки подвергают опасности данные пользователей.

Согласно отчёту (PDF), первая уязвимость представляет собой некорректную аутентификацию в Tapo L503E. Условный атакующий может выдать себя за устройство в процессе обмена ключом сессии.

Брешь получила 8,8 балла по CVSS (высокая степень риска), в случае успешной эксплуатации она позволяет злоумышленнику вытащить пароль от аккаунта в Tapo и, соответственно, управлять умным девайсом.

Ещё один опасный баг получил 7,6 балла по CVSS, а корень его кроется в жёстко заданном в коде общем секрете с короткой контрольной суммой. Этот секрет атакующие могут вытащить с помощью брутфорса или декомпиляции приложения Tapo.

Третья проблема получила среднюю степень опасности. Она существует из-за недостаточной рандомизации в процессе симметричного шифрования. Это делает криптосхему предсказуемой.

Четвёртая уязвимость является следствием недостаточной проверки актуальности полученных сообщений. Поскольку ключи сессии остаются валидными в течение 24 часов, злоумышленники могут повторять сообщения в этом промежутке.

Наиболее опасный вектор атаки в этом случае завязан на маскировке действий атакующего под активность умной лампочки. Он позволяет вытащить из приложения Tapo учётные данные.

Базальт СПО показала новые продукты и крупные проекты миграции на ОС Альт

В Москве прошла четвертая партнерская конференция «Базальт СПО» AltConf: Orange Season, приуроченная к 25-летию ALT Linux. Мероприятие собрало более 2,3 тыс. участников в онлайн- и офлайн-форматах. Одной из главных тем стала миграция крупных организаций на российские операционные системы.

В «Ростелекоме» на «Альт Рабочую станцию» перевели свыше 60 тыс. устройств. Перед началом проекта специалисты проверили совместимость 850 ИТ-сервисов, а сам переход проводили поэтапно. В среднем настройка одного рабочего места занимала три-четыре часа.

Опытом внедрения решений «Альт» также поделились «Россети». Компания выбрала их после тестирования нескольких операционных систем — в том числе благодаря интеграции с Active Directory и поддержке необходимого прикладного ПО. Процесс миграции автоматизировали с помощью системы централизованного управления рабочими станциями.

Еще один проект представил Национальный инновационный центр Казахстана. Национальная операционная система QAZOS создана на базе «Альт Платформы», локализована на казахский язык и адаптирована под местное законодательство. Сейчас ее готовят к внедрению в госорганизациях и на объектах критической инфраструктуры.

«Базальт СПО» также рассказала о планах на 2026 год. Компания готовит системы «Альт Оркестрация» для контейнерных сред, новую редакцию «Альт Виртуализации» на базе OpenNebula и линейку «Альт Контроллер» с поддержкой режима реального времени. При этом жизненный цикл платформы p11 решено продлить, а выпуск двенадцатой версии пока не планируется.

На конференции также объявили о сотрудничестве с разработчиком процессоров «Иртыш» и производителем мобильных устройств MIG. Стороны займутся адаптацией ОС «Альт» для российского оборудования.

RSS: Новости на портале Anti-Malware.ru