Attenzione alle lampadine smart TP-Link: possono rivelare la password del WiFi

Sono quattro le vulnerabilità alla sicurezza individuate nelle lampadine smart TP-Link Tapo L530E, uno dei modelli più venduti su Amazon e altri e-commerce, e nella relativa app Tapo sviluppata da TP-Link, con oltre 10 milioni di download su Google Play. Le falle sono state individuate da ricercatori dell'Università di Catania e dell'Università di Londra.

L'analisi si è concentrata su questo specifico prodotto per la sua ampia diffusione, ma l'obiettivo dello studio è mettere in luce i rischi per la cybersecurity presenti nei miliardi di oggetti IoT di uso quotidiano, molti dei quali soffrono di importanti lacune nelle procedure di trasmissione dati e nelle misure di autenticazione.

Il team ha individuato in particolare una vulnerabilità nel processo di autenticazione della lampadina, che consentirebbe ai malintenzionati di sostituirsi ad essa durante la fase di scambio della chiave di sessione con l'app Tapo. Questa vulnerabilità di particolare gravità (punteggio 8,8 CVSS v3.1), può consentire ad un hacker o ad un criminale informatico presente nelle vicinanze della vittima di intercettare le password dell’app Tapo e di prendere il controllo dei dispositivi connessi.

Una seconda falla anch'essa grave (punteggio 7,6 CVSS v3.1) deriva invece dall'utilizzo di una debole chiave checksum preimpostata nel dispositivo, che gli hacker potrebbero facilmente decifrare tramite attacchi brute force o analizzando il codice dell’app.

Falle nella lampadina smart TP-Link Tapo L530E: furto di credenziali WiFi e attacchi Man-in-the-Middle

Lo sfruttamento combinato di queste due vulnerabilità potrebbe consentire ad un hacker di condurre un attacco "di impersonificazione" della lampadina, così da poter sottrarre, in ultima istanza, i dati di accesso di un utente Tapo. Una volta introdotto nell'app con le credenziali sottratte, l'hacker avrebbe quindi la possibilità di visualizzare SSID e password del WiFi a cui è connesso il dispositivo, ottenendo così l'accesso anche agli altri apparati sulla stessa rete. E' bene osservare che perché l'attacco vada a segno, la lampadina si deve trovare in modalità di configurazione: l'attaccante potrebbe però rimuovere l'autenticazione della lampadina così da spingere l'utente ad effettuare una nuova configurazione.

I ricercatori hanno inoltre dimostrato la possibilità di un attacco Man-in-the-Middle (non sapete cosa sia? Ve lo abbiamo spiegato tempo fa: La truffa corre sul conto online, ecco come) ai danni di una lampadina Tapo L530E già configurata: sfruttando la prima vulnerabilità, l'attaccante può inserirsi nella comunicazione tra app e dispositivo, intercettando e alterando i messaggi, nonché acquisendo le chiavi crittografiche RSA per decifrare lo scambio dati successivo. Un attacco Man-in-the-Middle è possibile anche su dispositivi Tapo non ancora configurati, sempre sfruttando la prima falla. In questo caso, l'attaccante si connette alla rete WiFi durante la procedura di setup iniziale, collega due reti e reindirizza i messaggi di ricerca dei dispositivi, riuscendo infine ad ottenere in chiaro (codifica base64) password Tapo, SSID e chiavi di accesso al WiFi.

Abbiamo accennato in precedenza che le falle scoperte sono quattro: la terza, di gravità minore, interessa il processo di cifratura simmetrica, che non garantisce una sufficiente casualità e rende lo schema crittografico prevedibile. Infine, un quarto difetto consiste nella mancanza di meccanismi per verificare l'originalità dei messaggi ricevuti: le chiavi di sessione rimangono valide per 24 ore, permettendo agli attaccanti di replicare i messaggi in questo lasso di tempo.

Quest'ultima vulnerabilità consente di effettuare violazioni basate sulla replica di messaggi precedentemente intercettati, mediante le quali un malintenzionato può ottenere il controllo e modificare le funzionalità del dispositivo.

Le vulnerabilità sono già state comunicate a TP-Link, la quale ha riconosciuto i problemi e ha dichiarato di intervenire con il rilascio di patch correttive che riguarderanno l'app e il firmware della lampadina. Al momento però non è noto se le patch siano già state distribuite e quali siano le versioni di app e dispositivi che possono restare esposte al rischio di attacco.