TP-Link: quattro gravi falle in una lampadina smart

La lampadina smart TP-Link Tapo L530E, una delle più vendute su Amazon, è a quanto pare a rischio attacco hacker. Tre ricercatori italiani delle università di Catania e Londra hanno infatti scoperto e comunicato l'esistenza di quattro gravi vulnerabilità sul dispositivo. Un malintenzionato potrebbe pertanto rubare la password WiFi della rete locale e compiere svariate attività pericolose.

TP-Link: lampadina Tapo L530E a rischio hacker

La TP-Link Tapo L530E è una lampadina a LED multicolore e mediante l'app ufficiale Tapo disponibile sia per Android che per iOS/iPadOS è possibile scegliere colore, temperatura e luminosità, programmare accensione e spegnimento in base all’orario e al momento del tramonto o dell’alba. È supportato pure l'impiego degli assistenti vocali Amazon Alexa e Google Assistant. Per effettuare la configurazione iniziale occorre creare un account TP-Link e bisogna effettuare il collegamento alla rete WiFi.

La vulnerabilità più grave tra quelle scovate consente a un malintenzionato nel range di copertura WiFi di impersonare la lampadina smart e ricevere le credenziali dell’utente e la password WiFi dall’app Tapo.

La seconda falla consente di scoprire la chiave “hard-coded” scambiata tra lampadina e app per l’autenticazione, la terza vulnerabilità permette invece di individuare lo schema crittografico dei messaggi scambiati tra app e dispositivo, mentre la quarta permette di intercettare i suddetti messaggi perché la chiave di sessione ha una validità di 24 ore.

Per l'esecuzione dei test i ricercatori hanno usato la versione 1.0.0 della lampadina con firmware 1.1.9.

TP-Link ha fatto sapere che provvederà a stretto giro a mettere in sicurezza i suoi utenti con il rilascio di nuove versioni di app e firmware.