Jelszavakat szivárogtatnak az okosizzók?

Biztonsági kutatók egyes okosizzókban, illetve azokhoz kapcsolódó mobil alkalmazásokban veszélyes sebezhetőségekre derítettek fényt.
 

Mint oly sok más "okos"-ként aposztrofált eszköz, úgy az okosizzók is egyre nagyobb népszerűségnek örvendenek a felhasználók körében. Azonban már számos esetben igazolódott be, hogy a hálózati és internetes kapcsolatok kiépítésére alkalmas (IoT) készülékek biztonsági kockázatokat is hordoznak. Ez alól pedig az okosizzók sem jelentenek kivételt. 

Olasz és brit egyetemi kutatók ezúttal a TP-Link okosizzó megoldásait vették alaposabban górcső alá. A vizsgálataik hasznosnak bizonyultak, hiszen több sérülékenységre is sikerült fényt deríteni. Ezek a biztonsági rések nem kizárólag az okosizzókat, hanem az azok kezelésére szolgáló, androidos alkalmazást is sújtják. 

A vizsgálatok során a nagy mennyiségben értékesített TP-Link Tapo L530E okosizzó, valamint a Google Play áruházban több mint 10 millió letöltést számláló, androidos Tapo app kapta a főszerepet. A felfedezett sebezhetőségek közül a legveszélyesebb WiFi SSID-k és hozzájuk kötődő jelszavak kiszivárgását segítheti elő. 

A sebezhetőségek a következők:
  • Tapo felhasználónevek és jelszavak nem megfelelő kezelése
  • kódba "égetett", titkosításhoz használatos adatok (shared secret)
  • nem megfelelően implementált szimmetrikus titkosítás alkalmazása
  • munkameneti azonosítók kezelése, érvénytelenítése.

A biztonsági szakértők már jelezték a felfedezéseiket a TP-Linknek, amely már elkezdte a sebezhetőségek kivizsgálását. A gyártó ígéretet tett arra, hogy mind az okosizzók, mind a Tapo app esetében megteszi az elvárt lépéseket, és szükség esetén hibajavításokat fog kiadni.

A kutatók hangsúlyozták, hogy a vizsgálataiknak nem az volt a legfontosabb célja, hogy a TP-Link megoldásait helyezzék középpontba, hanem sokkal inkább arra szerettek volna rávilágítani, hogy az IoT eszközök is komoly figyelmet követelnek biztonsági szempontból.
 
  1. 4

    Az ImageMagick újabb biztonsági hibajavításokat kapott.

  2. 4

    A Google ezúttal csak egy biztonsági hiba miatt frissítette a Chrome-ot.

  3. 3

    A Firebird egy közepes veszélyességű hiba miatt kapott frissítést.

  4. 3

    A Citrix egy kritikus, nulladik napi sebezhetőséget is megszüntetett a NetScaler ADC/Gateway kapcsán.

  5. 4

    A FreePBX kapcsán egy veszélyes, nulladik napi biztonsági hibára derült fény.

  6. 3

    Az Apache Tomcat kapcsán egy biztonsági résre derült fény.

  7. 4

    Az IBM több mint 50 biztonsági hibajavítást adott ki a QRadar SIEM-hez.

  8. 3

    Az Intel a PROSet/Wireless WiFi szoftvere kapcsán egy biztonsági hibáról számolt be.

  9. 4

    Az ImageMagick frissítésével négy sebezhetőség szüntethető meg.

  10. 3

    A Docker Desktop kapcsán egy biztonsági hiba javítása vált szükségessé.

Partnerhírek
Terjed a hamis hibaüzenetekkel támadó ClickFix kártevő

Az ESET közzétette legfrissebb kiberfenyegetettségi jelentését, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be

Hogyan védhetjük meg a gyerekeket a kibertérben?

A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.

hirdetés
Közösség