Jelszavakat szivárogtatnak az okosizzók?

Biztonsági kutatók egyes okosizzókban, illetve azokhoz kapcsolódó mobil alkalmazásokban veszélyes sebezhetőségekre derítettek fényt.
 

Mint oly sok más "okos"-ként aposztrofált eszköz, úgy az okosizzók is egyre nagyobb népszerűségnek örvendenek a felhasználók körében. Azonban már számos esetben igazolódott be, hogy a hálózati és internetes kapcsolatok kiépítésére alkalmas (IoT) készülékek biztonsági kockázatokat is hordoznak. Ez alól pedig az okosizzók sem jelentenek kivételt. 

Olasz és brit egyetemi kutatók ezúttal a TP-Link okosizzó megoldásait vették alaposabban górcső alá. A vizsgálataik hasznosnak bizonyultak, hiszen több sérülékenységre is sikerült fényt deríteni. Ezek a biztonsági rések nem kizárólag az okosizzókat, hanem az azok kezelésére szolgáló, androidos alkalmazást is sújtják. 

A vizsgálatok során a nagy mennyiségben értékesített TP-Link Tapo L530E okosizzó, valamint a Google Play áruházban több mint 10 millió letöltést számláló, androidos Tapo app kapta a főszerepet. A felfedezett sebezhetőségek közül a legveszélyesebb WiFi SSID-k és hozzájuk kötődő jelszavak kiszivárgását segítheti elő. 

A sebezhetőségek a következők:
  • Tapo felhasználónevek és jelszavak nem megfelelő kezelése
  • kódba "égetett", titkosításhoz használatos adatok (shared secret)
  • nem megfelelően implementált szimmetrikus titkosítás alkalmazása
  • munkameneti azonosítók kezelése, érvénytelenítése.

A biztonsági szakértők már jelezték a felfedezéseiket a TP-Linknek, amely már elkezdte a sebezhetőségek kivizsgálását. A gyártó ígéretet tett arra, hogy mind az okosizzók, mind a Tapo app esetében megteszi az elvárt lépéseket, és szükség esetén hibajavításokat fog kiadni.

A kutatók hangsúlyozták, hogy a vizsgálataiknak nem az volt a legfontosabb célja, hogy a TP-Link megoldásait helyezzék középpontba, hanem sokkal inkább arra szerettek volna rávilágítani, hogy az IoT eszközök is komoly figyelmet követelnek biztonsági szempontból.
 
  1. 3

    Kritikus biztonsági hibáról számolt be a Cisco az IOS XE kapcsán.

  2. 3

    A SonicWall fontos biztonsági frissítéseket adott ki az egyik VPN-megoldásához.

  3. 3

    Az IBM Db2 két biztonsági hibajavítást kapott.

  4. 4

    A Commvault egy biztonsági frissítést adott ki.

  5. 4

    Több tucat biztonsági javítás vált elérhetővé az Androidhoz.

  6. 3

    Az OpenBSD egy biztonsági hibajavítással bővült.

  7. 4

    A QRadar kapcsán 14 biztonsági hibáról számolt be az IBM.

  8. 4

    A Firefox 13 biztonsági réstől vált meg a legújabb verzióinak köszönhetően.

  9. 4

    A Thunderbird alkalmazás fontos hibajavításokkal bővült.

  10. 3

    A LibreOffice egy biztonsági hibajavítással gyarapodott.

Partnerhírek
​Az ESET kutatói vizsgálták a RansomHub csoportot

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.

Támadást hajtott végre a Kínához köthető FamousSparrow csoport

Az ESET kutatói felfedezték, hogy a FamousSparrow hackercsoport felelős egy pénzügyi szektorban működő amerikai kereskedelmi szervezet és egy mexikói kutatóintézet ellen elkövetett kibertámadásért.

hirdetés
Közösség