TP-Link: Smarte Glühbirne mit Schwachstelle
von caschy | 3 Kommentare
Nicht das erste Mal, dass Forscher vor Sicherheitslücken in smarter Hardware warnen. Dieses Mal ist TP-Link im Mittelpunkt eines Forschungsberichts. Die Forscher warnen vor den Sicherheitslücken in der intelligenten Glühbirne Tapo L530E von TP-Link.
Die Birne und die Steuer-App weisen Schwachstellen auf, die von Angreifern ausgenutzt werden können, um Zugangsdaten zu bekommen und das WLAN-Passwort auszulesen. Der Setup-Modus der Birne kann als Voraussetzung für Angriffe verwendet werden.
Bedeutet erst einmal, dass man eine solche Hardware nicht in kritischen Netzen einsetzen sollte, wobei sich die Lücken erst einmal nicht so leicht auszunutzen lesen – laut der Forscher haben zwei der Lücken einen hohen und zwei einen mittleren Schweregrad nach dem CVSS-v3.1-Bewertungssystem, allerdings gibt es keine weiterführenden Details, CVE-Nummern fehlen.
Zusammenfassend schreiben die Forscher, dass die Authentifizierung nicht gut berücksichtigt ist und die Sicherheit wird durch die implementierten kryptografischen Maßnahmen nur unzureichend erreicht. Dies hat zur Folge, dass ein Angreifer, der sich in der Nähe der Glühbirne nicht nur die Glühbirne, sondern alle Geräte der Tapo-Familie bedienen, die der Nutzer in seinem Tapo-Konto hat. Außerdem kann der Angreifer das WLAN-Passwort des Opfers in Erfahrung bringen.
Anwender sollten also ein Auge auf kommende Updates dahingehend achten.
Update: Wir haben ein Statement bekommen:
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ich kann von dieser Birne nur abraten.
Habe sie seit 1,5 Jahren und habe alle paar Wochen für einige Tage eine „dumme Glühbirne“. Sämtliche Smart-Funktionen funktionieren dann einfach nicht.
Entweder wird die Lampe in der App gleich als Offline angezeigt oder sie nimmt einfach keine Befehle an. Es spielt dabei auch keine Rolle, wie oft man die Lampe dann aus/einschaltet oder wie lange sie läuft.
Ein paar Tage später funktioniert sie dann wieder, als wäre nichts gewesen. Bis wenige Wochen später das selbe Problem wieder beginnt.
Andere WLAN-Geräte funktionieren währenddessen problemlos und keines davon ist so nahe und und mit Sichtkontakt zur FritzBox.
Smarte Geräte mit WLAN sind in dieser Hinsicht immer mehr gefährdet, besonders wenn sie im kopplungs-Modus sind.
Um die Kopplung einfach zu gestalten, wird ein temporärer Access-Point auf gemacht.
Das ist per Se ein Schwachpunkt, zumal das Kennwort dabei ein Standard Kennwort ist.
WLAN war nie für SMART Things gedacht und sollte auch nicht verwendet werden.
Sehr gut ist ZigBee, das speziell dafür von Philips entwickelt wurde.
Es gab auch schon eine Lücke, aber die ist schon lange gestopft.
ZigBee hat zudem den Vorteil, dass netzbetriebene Geräte ein Mesh aufbauen, dass die Reichweite vergrößert.
Eine günstige RGB Birne gibt es von Megos und damit immer mal wieder bei ALDI.
https://www.megos-shop.de/shop/smartes-licht/led-leuchtmittel/17/e27-9-watt-led-megos-smart-home-tuya/zigbee-leuchtmittel
Obwohl ich sonst keine Retrofit Leuchtmittel verwende, habe ich mir vor längerer Zeit das Starter-Set geholt.
Seither leuchtet die Birne in einer opalen Kugel und hat noch nie gezickt.
Shit, gerade die tage eine C210 Kamera in betrieb genommen, ich wette da sind noch mehr Produkte betroffen, ist doch alles „der gleiche kram“. 🙁