来自意大利和英国的研究人员在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了4个漏洞，攻击者可以利用这些漏洞窃取目标的 WiFi 密码。

TP-Link  Tapo L530E 是包括亚马逊在内的多个市场上最畅销的智能灯泡。TP-link Tapo是一款智能设备管理应用程序，在Google Play上拥有1000万安装量 。

智能灯泡缺陷

第一个漏洞涉及 Tapo L503E 上的不正确身份验证，允许攻击者在会话密钥交换步骤中冒充设备。此高严重性漏洞（CVSS v3.1 评分：8.8）允许相邻攻击者检索 Tapo 用户密码并操纵 Tapo 设备。

第二个漏洞也是一个高严重性漏洞（CVSS v3.1 得分：7.6），由硬编码的短校验和共享密钥引起，攻击者可以通过暴力破解或反编译 Tapo 应用程序来获取该密钥。

第三个漏洞是一个中等严重性缺陷，涉及对称加密过程中缺乏随机性，使得加密方案可预测。

第四个漏洞源于缺乏对接收消息的新鲜度的检查，保持会话密钥在 24 小时内有效，并允许攻击者在此期间重放消息。

攻击场景

研究发现，最令人担忧的攻击场景是利用上述的第一个和第二个漏洞进行灯泡冒充和检索 Tapo 用户帐户详细信息，然后通过访问 Tapo 应用程序，攻击者可以提取受害者的 WiFi SSID 和密码，并获得连接到该网络的所有其他设备的访问权限。

设备需要处于设置模式才能使攻击起作用。然而，攻击者可以取消灯泡的认证，迫使用户重新设置以恢复其功能。

灯泡模拟图

而未配置的 Tapo 设备也可能受到 MITM 攻击，方法是再次利用第一个漏洞，在设置过程中连接到 WiFi、桥接两个网络并路由发现信息，最终以易于破译的 base64 编码形式检索 Tapo 密码、SSID 和 WiFi 密码。

MITM 攻击图

最后，第四个漏洞允许攻击者发起重放攻击，复制之前嗅探到的消息以实现设备的功能更改。

披露和修复

研究人员在发现这些漏洞后向 TP-Link 进行了披露，对方承认了这些问题的存在，并告知将很快对应用程序和灯泡固件进行修复。在这之前，研究人员建议用户将这些类型的设备与关键网络隔离，使用最新的可用固件更新和配套应用程序版本，并使用 MFA 和强密码保护帐户。