Catanian yliopiston tietoturva-asiantuntijapari yhdessä Lontoon yliopiston kollegansa kanssa löysi neljä haavoittuvuutta yhdestä suosituimmista älypolttimista. TP-Link. Davide Bonaventura, Giampaolo Bella ja Sergio Esposito kirjoittivat artikkelin, jossa he kuvasivat älykkään hehkulampun testaamista ja heidän löytämistään.
Älypolttimot, kuten TP-Linkin polttimot, antavat käyttäjille mahdollisuuden ohjata lampun toimintoja älypuhelinsovelluksen kautta. Näihin ominaisuuksiin kuuluu mahdollisuus valita hehkulampun väri, ajastaa ajastin, joka ilmoittaa, milloin se on kytkettävä päälle tai pois päältä, ja seurata energiankulutusta. Lamppuja voidaan ohjata myös suoraan Wi-Fi-yhteyden kautta, mikä tarkoittaa, että ne eivät vaadi napaa tai muuta laitteistoa. Juuri tämä viimeinen ominaisuus tekee tutkijakolmikon mukaan hehkulampun haavoittuvan hakkereille.
Testataan suosituinta älykästä hehkulamppua Tapo, L530E, tutkijat tunnistivat neljä haavoittuvuutta. Yhtä näistä haavoittuvuuksista kuvailtiin erittäin vakavaksi - hehkulampulla ei ollut valtuutuskykyä sen ja siihen liittyvän sovelluksen välillä. Tämän ansiosta tutkimusryhmä saattoi esiintyä hehkulamppuna testiistunnon aikana, tallentaa hehkulamppuun liittyvän salasanan ja ohjata sen toimintaa sieltä käsin.
Toinen haavoittuvuus, jonka tiimi luokitteli vakavaksi, antoi lähistöllä olleet hakkerit saada salakoodin, jota käytettiin todentamiseen, kun laite havaittiin. Kolmas haavoittuvuus oli satunnaisuuden puute salauksen aikana, mikä teki järjestelmästä ennustettavan, ja neljäs haavoittuvuus antoi tiimille mahdollisuuden toistaa hehkulampusta ja hehkulampusta lähetetyt viestit.
Tutkijakolmio toteaa, että hehkulampun esiintymiseen liittyvä haavoittuvuus mahdollistaa Tapon tilitietojen varastamisen, jonka avulla voidaan epäsuorasti paljastaa sen Wi-Fi-järjestelmän käyttämä Wi-Fi-salasana, johon hehkulamppu on liitetty. Kun tämä salasana oli saatu, hakkerit eivät voineet vain kaapata verkkoa omaan käyttöönsä, vaan myös mahdollisesti käyttää sitä verkon muihin laitteisiin pääsyyn.
Tutkimusryhmä ilmoitti löytämänsä TP-Linkille, ja heille kerrottiin, että kaikki löydetyt haavoittuvuudet oli korjattu ja korjauksia kehitetään.
Lue myös: