Isang pares ng mga espesyalista sa seguridad ng impormasyon mula sa Unibersidad ng Catania, sa pakikipagtulungan ng isang kasamahan mula sa Unibersidad ng London, ang nakatuklas ng apat na kahinaan sa isa sa mga pinakasikat na smart bulbs TP-Link. Nagsulat sina Davide Bonaventura, Giampaolo Bella, at Sergio Esposito ng isang artikulo na naglalarawan sa kanilang pagsubok sa smart light bulb at kung ano ang kanilang natuklasan.
Ang mga smart bulbs, gaya ng mula sa TP-Link, ay nagbibigay-daan sa mga user na kontrolin ang mga function ng bombilya sa pamamagitan ng isang smartphone app. Kasama sa mga feature na ito ang kakayahang pumili ng kulay ng bumbilya, mag-iskedyul ng timer upang isaad kung kailan ito i-on o i-off, at subaybayan ang paggamit ng enerhiya. Ang mga bombilya ay maaari ding direktang kontrolin sa pamamagitan ng Wi-Fi, ibig sabihin, hindi sila nangangailangan ng hub o iba pang hardware. Ito ang huling tampok na ito, ayon sa trio ng pananaliksik, na ginagawang mahina ang bombilya sa mga hacker.
Pagsubok sa pinakasikat na smart light bulb Tapo, L530E, natukoy ng mga mananaliksik ang apat na kahinaan. Ang isa sa mga kahinaang ito ay inilarawan bilang napakaseryoso - ang bumbilya ay walang kakayahan sa pagpapahintulot sa pagitan nito at ng nauugnay na aplikasyon. Pinayagan nito ang research team na gayahin ang bombilya sa panahon ng isang test session, itala ang password na nauugnay sa bombilya, at kontrolin ang mga pagkilos nito mula doon.
Ang pangalawang kahinaan, na inuri ng team bilang seryoso, ay nagpapahintulot sa mga hacker na nasa malapit na makuha ang sikretong code na ginamit para sa pagpapatunay kapag natukoy ang device. Ang pangatlong kahinaan ay ang kakulangan ng randomness sa panahon ng pag-encrypt, na ginawang predictable ang scheme, at ang ikaapat na kahinaan ay nagpapahintulot sa koponan na i-replay ang mga mensaheng ipinadala sa at mula sa light bulb.
Sinasabi ng trio ng mga mananaliksik na ang isang kahinaan na nauugnay sa pagpapanggap ng lightbulb ay nagbibigay-daan sa impormasyon ng Tapo account na manakaw, na maaaring hindi direktang magamit upang ipakita ang password ng Wi-Fi na ginamit ng Wi-Fi system kung saan nakakonekta ang lightbulb. Kapag nakuha na ang password na ito, hindi lamang ma-hijack ng mga hacker ang network para sa kanilang sariling paggamit, ngunit potensyal din itong gamitin upang ma-access ang iba pang mga device sa network.
Iniulat ng pangkat ng pananaliksik ang kanilang nahanap sa TP-Link at sinabihan na ang lahat ng mga kahinaan na natagpuan ay naayos na at ang mga pag-aayos ay nasa ilalim ng pag-unlad.
Basahin din: