La lampada smart più venduta su Amazon mette a rischio le password WiFi

Le lampadine smart TP-Link Tapo, e nello specifico il modello più venduto in Italia su Amazon, sono diventate oggetto di preoccupazione a causa di quattro vulnerabilità scoperte dai ricercatori, che potrebbero permettere a eventuali malintenzionati di rubare con facilità le password Wi-Fi.

Le soluzioni smart Tapo di TP-Link sono molto popolari su Amazon, tanto che l’applicazione di controllo proprietaria è stata scaricata oltre 10 milioni di volte da Google Play. Tuttavia, una ricerca congiunta portata avanti dall’Università di Catania e dell’Università di Londra ha permesso di scoprire quattro vulnerabilità legate all’utilizzo del modello Tapo L530E insieme all’omonima applicazione.

Secondo quanto riportato da Bleeping Computer, i ricercatori hanno volutamente messo alla prova la lampadina smart Tapo L530E, la più venduta su Amazon in Italia. Il motivo è molto semplice: prodotti IoT di questo genere sono ormai presenti in moltissime case, pertanto i ricercatori hanno deciso che di valutarne la sicurezza. Come avete già capito dall’introduzione, i risultati sono stati meno positivi di quanto ci si aspettasse. I ricercatori hanno individuato quattro vulnerabilità, la prima delle quali è stata valutata con il punteggio di vulnerabilità CVSS v3.1 più elevato: 8.8, che indica una pericolosità piuttosto alta. Il motivo? Manca del tutto una modalità di autenticazione della lampadina smart con l’app Tapo, e questo consente potenzialmente agli aggressori di impersonare la lampadina durante lo scambio della chiave di sessione. Va anche detto che questa vulnerabilità è presente in tutti i dispositivi smart Tapo che utilizzano il protocollo TSKEP e permette agli hacker di recuperare le password degli utenti di Tapo e manipolare i dispositivi stessi.

La seconda falla è classificata come leggermente inferiore in quanto a pericolosità (punteggio 7.6) ma non per questo risulta meno grave, poiché consente di ottenere la chiave “shared secret”, utilizzata durante la fase di autenticazione tra la lampadina smart e l’app Tapo, attraverso semplici attacchi a forza bruta. Attraverso questa modalità gli aggressori cercano tutte le possibili combinazioni fino a trovare quella corretta. Inoltre, decompilando l’app Tapo, gli attaccanti possono ottenere accesso al “shared secret” e quindi compromettere l’autenticazione.

Il terzo problema di sicurezza (punteggio 4.6) riguarda la mancanza di casualità durante la crittografia simmetrica, che consente a un aggressore di rendere prevedibile lo schema crittografico. Arriviamo infine all’ultima vulnerabilità (punteggio 5.7) che è legata a un mancato controllo della freschezza dei messaggi ricevuti dal dispositivo, il quale mantiene le chiavi di sessione valide per 24 ore.

Le prime due vulnerabilità sono senza dubbio le più pericolose, tuttavia è bene ricordare che per riuscire a rubare le password Wi-Fi il dispositivo deve trovarsi in modalità di configurazione. La buona notizia è che le vulnerabilità sono state segnalate a TP-Link tramite il suo Vulnerability Research Program (VRP). L’azienda le ha tutte riconosciute e ha dichiarato di aver iniziato a lavorare alle correzioni sia a livello di app che di firmware delle lampadine. Non è stato specificato quando saranno rilasciate le correzioni, ma TP-Link è conscia della cattiva pubblicità che questa situazione potrebbe creare e pertanto non dovrebbe passare troppo tempo prima di ricevere un aggiornamento.