TP-Link: Smarte Glühbirne mit Schwachstelle

Nicht das erste Mal, dass Forscher vor Sicherheitslücken in smarter Hardware warnen. Dieses Mal ist TP-Link im Mittelpunkt eines Forschungsberichts. Die Forscher warnen vor den Sicherheitslücken in der intelligenten Glühbirne Tapo L530E von TP-Link.

Die Birne und die Steuer-App weisen Schwachstellen auf, die von Angreifern ausgenutzt werden können, um Zugangsdaten zu bekommen und das WLAN-Passwort auszulesen. Der Setup-Modus der Birne kann als Voraussetzung für Angriffe verwendet werden.

Bedeutet erst einmal, dass man eine solche Hardware nicht in kritischen Netzen einsetzen sollte, wobei sich die Lücken erst einmal nicht so leicht auszunutzen lesen – laut der Forscher haben zwei der Lücken einen hohen und zwei einen mittleren Schweregrad nach dem CVSS-v3.1-Bewertungssystem, allerdings gibt es keine weiterführenden Details, CVE-Nummern fehlen.

Zusammenfassend schreiben die Forscher, dass die Authentifizierung nicht gut berücksichtigt ist und die Sicherheit wird durch die implementierten kryptografischen Maßnahmen nur unzureichend erreicht. Dies hat zur Folge, dass ein Angreifer, der sich in der Nähe der Glühbirne nicht nur die Glühbirne, sondern alle Geräte der Tapo-Familie bedienen, die der Nutzer in seinem Tapo-Konto hat. Außerdem kann der Angreifer das WLAN-Passwort des Opfers in Erfahrung bringen.

Anwender sollten also ein Auge auf kommende Updates dahingehend achten.

Update: Wir haben ein Statement bekommen:

TP-Link ist kürzlich von den Verfassern einer gemeinsamen Studie der Universita di Catania und der Royal Holloway, University of London über eine Sicherheitslücke in der smarten Glühbirne Tapo L530E sowie der Tapo-App informiert worden, über die potenzielle Angreifer gegebenenfalls in den Besitz von WLAN-Passwörtern der Benutzer dieser Glühbirnen kommen können.
TP-Link hat in der Folge mit Hochdruck an einem Firmware-Update gearbeitet, das diese Lücke zuverlässig schließt und sich bereits in der internen Testphase befindet. Dieses Update wird voraussichtlich zum Ende dieser Woche als OTA-Update ausgerollt werden.
Überdies prüft TP-Link auch, ob die von den Forschenden entdeckte Sicherheitslücke weitere Produkte aus dem eigenen Portfolio betrifft und wird in diesem Fall ebenfalls zeitnah weitere Updates bereitstellen bzw. ausrollen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

3 Kommentare

  1. Ich kann von dieser Birne nur abraten.
    Habe sie seit 1,5 Jahren und habe alle paar Wochen für einige Tage eine „dumme Glühbirne“. Sämtliche Smart-Funktionen funktionieren dann einfach nicht.
    Entweder wird die Lampe in der App gleich als Offline angezeigt oder sie nimmt einfach keine Befehle an. Es spielt dabei auch keine Rolle, wie oft man die Lampe dann aus/einschaltet oder wie lange sie läuft.
    Ein paar Tage später funktioniert sie dann wieder, als wäre nichts gewesen. Bis wenige Wochen später das selbe Problem wieder beginnt.
    Andere WLAN-Geräte funktionieren währenddessen problemlos und keines davon ist so nahe und und mit Sichtkontakt zur FritzBox.

  2. Smarte Geräte mit WLAN sind in dieser Hinsicht immer mehr gefährdet, besonders wenn sie im kopplungs-Modus sind.
    Um die Kopplung einfach zu gestalten, wird ein temporärer Access-Point auf gemacht.
    Das ist per Se ein Schwachpunkt, zumal das Kennwort dabei ein Standard Kennwort ist.

    WLAN war nie für SMART Things gedacht und sollte auch nicht verwendet werden.

    Sehr gut ist ZigBee, das speziell dafür von Philips entwickelt wurde.
    Es gab auch schon eine Lücke, aber die ist schon lange gestopft.

    ZigBee hat zudem den Vorteil, dass netzbetriebene Geräte ein Mesh aufbauen, dass die Reichweite vergrößert.

    Eine günstige RGB Birne gibt es von Megos und damit immer mal wieder bei ALDI.
    https://www.megos-shop.de/shop/smartes-licht/led-leuchtmittel/17/e27-9-watt-led-megos-smart-home-tuya/zigbee-leuchtmittel

    Obwohl ich sonst keine Retrofit Leuchtmittel verwende, habe ich mir vor längerer Zeit das Starter-Set geholt.
    Seither leuchtet die Birne in einer opalen Kugel und hat noch nie gezickt.

  3. Shit, gerade die tage eine C210 Kamera in betrieb genommen, ich wette da sind noch mehr Produkte betroffen, ist doch alles „der gleiche kram“. 🙁

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.