Come le lampadine intelligenti potrebbero rubare la tua password | ENBLE
How smart bulbs could steal your password | ENBLE
Se è connesso a Internet, può essere hackerato, anche alcune delle migliori lampadine intelligenti. Mentre le lampadine intelligenti rendono facile regolare l’illuminazione e l’atmosfera nella tua stanza, si connettono al Wi-Fi, il che le rende suscettibili agli attacchi. Ricercatori dell’Università di Catania e dell’Università di Londra hanno scoperto una particolare vulnerabilità nella lampadina intelligente TP-Link Tapo L530E e nell’applicazione TP-Link Tapo. Sembra che gli hacker possano accedere alle tue password solo tramite la lampadina intelligente.
Oggi i dispositivi intelligenti sono sempre più diffusi nelle case di tutto il mondo. La TP-Link Tapo L530E è una lampadina intelligente popolare, ed è ciò che ha spinto i ricercatori ad analizzarla e cercare di individuare eventuali difetti nella sua sicurezza. Purtroppo, hanno trovato almeno quattro vulnerabilità, tutte derivanti dal fatto che le misure di sicurezza della lampadina potrebbero essere insufficienti.
La prima vulnerabilità, considerata una vulnerabilità di alta gravità, deriva dal fatto che gli attaccanti potenzialmente potrebbero impersonare il Tapo L503E durante lo scambio di chiavi di sessione. Con un punteggio di 8.8 sulla scala di gravità, questa vulnerabilità permetterebbe all’hacker di rubare le password dell’utente Tapo e prendere il controllo dei loro dispositivi intelligenti. La seconda falla, di alta gravità (con un punteggio di 7.6), è legata al codice di checksum debole utilizzato dalle lampadine intelligenti, che facilita ai potenziali attaccanti il compito di scoprirlo, sia tramite forza bruta o consultando il codice dell’app Tapo.
Le altre due vulnerabilità sono meno gravi. Una riguarda il fatto che c’è una significativa mancanza di casualità durante la crittografia, il che rende più facile per gli attori minacciosi prevedere e decodificare lo schema crittografico. Infine, sembra che tutti i messaggi ricevuti dalla lampadina intelligente rimangano accessibili agli attaccanti per un intero giorno.
A cosa serve hackerare una lampadina intelligente? Beh, si scopre che è più pericoloso di quanto sembri. La vulnerabilità con il punteggio più alto consente agli attaccanti di impersonare la tua lampadina intelligente e rubare i tuoi dettagli Tapo. Da lì, sarebbero in grado di vedere il tuo SSID e la password Wi-Fi, che potrebbe quindi esporre tutti gli altri dispositivi connessi a quella rete. Fortunatamente, sembra che il dispositivo debba essere in modalità di configurazione affinché l’attacco sia possibile, ma gli hacker possono rimuovere l’autenticazione dalla lampadina intelligente, costringendo l’utilizzo della modalità di configurazione.
- Sblocca i servizi di streaming e proteggi i tuoi download con quest...
- Snapmaker annuncia il suo primo tagliatore laser dedicato, il Ray, ...
- Questo caricatore USB-C può alimentare contemporaneamente quattro d...
C’è anche la possibilità di un attacco Man-in-the-Middle (MITM), che si basa sulla precedente vulnerabilità per recuperare le chiavi di crittografia RSA che possono essere successivamente utilizzate per lo scambio di dati. In definitiva, sembra che non solo le credenziali Tapo, ma anche le password Wi-Fi e potenzialmente altri dati sensibili potrebbero essere a rischio.
I ricercatori hanno descritto tutte e quattro le vulnerabilità in un documento, che è stato poi riportato da Bleeping Computer. Prima di rendere pubblica la questione, hanno comunicato le vulnerabilità a TP-Link, che ha promesso di aggiornare il firmware della lampadina per risolvere questi problemi. Tuttavia, non è chiaro quanto tempo ci vorrà per risolvere la questione.
Cosa puoi fare per rimanere al sicuro? Prima di tutto, non trascurare l’uso dell’autenticazione multifattore (MFA) su ogni dispositivo e app che lo permette. Utilizza password sicure e non utilizzare mai la stessa password due volte. Per quanto riguarda i dispositivi smart home in generale, se puoi tenerli lontani da reti importanti, potrebbe essere meglio, poiché spesso non offrono lo stesso tipo di sicurezza che ci si aspetterebbe da dispositivi più avanzati.
