智能灯泡可以被黑客利用来入侵您的家庭
摘要:应用PETIoT kill chain在Tp-Link的畅销智能灯泡Tapo L530E上进行漏洞评估和渗透测试,本文描述了所得到的研究结果。我们发现这款灯泡存在四个漏洞,其中两个严重程度为高,两个严重程度为中,根据CVSS v3.1评分系统的评估。简而言之,认证不健全,实施的加密措施不能达到足够的保密性。因此,附近的攻击者不仅可以随意操作灯泡,还可以操作用户在Tapo账户上拥有的所有Tapo家庭设备。此外,攻击者还可以获取受害者的Wi-Fi密码,从而显著提高其恶意潜力。本文最后提出了可能的修复方案。
作者:Davide Bonaventura, Sergio Esposito and Giampaolo Bella
论文ID:2308.09019
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-08-21