Jelszavakat szivárogtatnak az okosizzók?

Biztonsági kutatók egyes okosizzókban, illetve azokhoz kapcsolódó mobil alkalmazásokban veszélyes sebezhetőségekre derítettek fényt.
 

Mint oly sok más "okos"-ként aposztrofált eszköz, úgy az okosizzók is egyre nagyobb népszerűségnek örvendenek a felhasználók körében. Azonban már számos esetben igazolódott be, hogy a hálózati és internetes kapcsolatok kiépítésére alkalmas (IoT) készülékek biztonsági kockázatokat is hordoznak. Ez alól pedig az okosizzók sem jelentenek kivételt. 

Olasz és brit egyetemi kutatók ezúttal a TP-Link okosizzó megoldásait vették alaposabban górcső alá. A vizsgálataik hasznosnak bizonyultak, hiszen több sérülékenységre is sikerült fényt deríteni. Ezek a biztonsági rések nem kizárólag az okosizzókat, hanem az azok kezelésére szolgáló, androidos alkalmazást is sújtják. 

A vizsgálatok során a nagy mennyiségben értékesített TP-Link Tapo L530E okosizzó, valamint a Google Play áruházban több mint 10 millió letöltést számláló, androidos Tapo app kapta a főszerepet. A felfedezett sebezhetőségek közül a legveszélyesebb WiFi SSID-k és hozzájuk kötődő jelszavak kiszivárgását segítheti elő. 

A sebezhetőségek a következők:
  • Tapo felhasználónevek és jelszavak nem megfelelő kezelése
  • kódba "égetett", titkosításhoz használatos adatok (shared secret)
  • nem megfelelően implementált szimmetrikus titkosítás alkalmazása
  • munkameneti azonosítók kezelése, érvénytelenítése.

A biztonsági szakértők már jelezték a felfedezéseiket a TP-Linknek, amely már elkezdte a sebezhetőségek kivizsgálását. A gyártó ígéretet tett arra, hogy mind az okosizzók, mind a Tapo app esetében megteszi az elvárt lépéseket, és szükség esetén hibajavításokat fog kiadni.

A kutatók hangsúlyozták, hogy a vizsgálataiknak nem az volt a legfontosabb célja, hogy a TP-Link megoldásait helyezzék középpontba, hanem sokkal inkább arra szerettek volna rávilágítani, hogy az IoT eszközök is komoly figyelmet követelnek biztonsági szempontból.
 
  1. 4

    A Junos OS három hibajavítással bővült.

  2. 3

    Öt biztonsági hibajavítás kiadásával indította az évet a Palo Alto Networks.

  3. 4

    A SonicWall biztonsági javításokat adott ki a SonicOS-hez.

  4. 3

    A SeaMonkey fejlesztői két biztonság hibát javítottak.

  5. 4

    A Google három tucat biztonsági hibáról számolt be az Android kapcsán.

  6. 3

    A Google Chromecast egy biztonsági hibát tartalmaz.

  7. 3

    A wolfSSL esetében egy biztonsági rendellenességre derült fény.

  8. 3

    A Red Hat OpenShift Container Platformhoz két hibajavítás érkezett.

  9. 3

    A PAN-OS-hez egy újabb hibajavítás érkezett.

  10. 4

    Az Adobe egy soron kívüli hibajavítást adott ki a Adobe ColdFusion alkalmazáshoz.

Partnerhírek
​Ki vigyáz az adataidra, ha te nem?

Találkoztál már az online térben adathalászokkal? Estél már áldozatául vírusoknak, hackereknek? Ismered az online veszélyeket és védekezel is ellenük?

Új funkciókat kaptak az ESET otthoni védelmi szofverei

​Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen.

hirdetés
Közösség