Se hai una lampadina TP-Link Tapo L530E hai un problema di sicurezza

Hai una lampadina TP-Link Tapo L530E? Non è sicura!

Breve ma importante news per i lettori di YourLifeUpdated, in particolare per quelli che hanno acquistato la lampadina smart TP-Link Tapo L530E, una delle più vendute su Amazon.

In breve, infatti, devi sapere che la lampadina smart TP-Link Tapo L530E ha un grosso problema di sicurezza che mette a rischio la password della tua rete WiFi.

Dunque, se stai usando la TP-Link Tapo L530E e vuoi proteggere la tua password e la tua privacy, l'unica cosa che puoi fare è rimuovere questa lampadina e sostituirla con un'altro modello (o aspettare che l'azienda ne aggiorni il firmware).

Ad ogni modo, vediamo tutti i dettagli relativi al problema di sicurezza della lampadina TP-Link Tapo L530E.

La lampada smart più venduta su Amazon mette a rischio le password WiFi

A quanto pare la lampadina TP-Link Tapo L530E soffre di ben 4 vulnerabilità che potrebbero permettere a eventuali malintenzionati di rubare con facilità le password WiFi.

Ma quali sono queste vulnerabilità?

La prima riguarda la mancanza di una modalità di autenticazione della lampadina smart con l'app Tapo, cosa che consente potenzialmente agli aggressori di impersonare la lampadina durante lo scambio della chiave di sessione.

Da notare poi che questa vulnerabilità è presente in tutti i dispositivi smart Tapo che utilizzano il protocollo TSKEP e permette agli hacker di recuperare le password degli utenti di Tapo e manipolare i dispositivi stessi.

La seconda falla è classificata come leggermente inferiore in quanto a pericolosità, ma non per questo risulta meno grave, poiché consente di ottenere la chiave "shared secret", utilizzata durante la fase di autenticazione tra la lampadina smart e l'app Tapo, attraverso semplici attacchi a forza bruta.

Attraverso questa modalità gli aggressori cercano tutte le possibili combinazioni fino a trovare quella corretta. Inoltre, decompilando l'app Tapo, gli attaccanti possono ottenere accesso al "shared secret" e quindi compromettere l'autenticazione.

Il terzo problema di sicurezza riguarda la mancanza di casualità durante la crittografia simmetrica, che consente a un aggressore di rendere prevedibile lo schema crittografico.

Arriviamo infine all'ultima vulnerabilità, che è legata a un mancato controllo dell'orario di ricezione dei messaggi inviati al dispositivo, il quale mantiene le chiavi di sessione valide per 24 ore.

Concludendo

Senza alcun dubbio, le prime due vulnerabilità sono le più pericolose.

Va comunque detto che, per riuscire a rubare le password WiFi, il dispositivo deve trovarsi in modalità di configurazione, ma è sufficiente aspettare che salti la luce in casa per portare avanti un eventuale attacco.

Fortunatamente le vulnerabilità sono state segnalate a TP-Link: l'azienda le ha riconosciute e ha dichiarato di aver iniziato a lavorare alle correzioni sia a livello di app che di firmware delle lampadine.

Sarà dunque sufficiente aspettare che l'azienda aggiorni app e firmware per risolvere il problema.

Nel frattempo, però, ti consiglio di sostituire la tua TP-Link Tapo L530E con un prodotto alternativo per evitare problemi di privacy e sicurezza.

FONTE