이탈리아와 영국의 연구자들이 TP-Link Tapo L530E 스마트 전구와 TP-Link의 Tapo 앱에서 4가지 취약점을 발견했습니다. 이 취약점들로 인해 공격자는 대상의 WiFi 비밀번호를 훔칠 수 있습니다. TP-Link Tapo L530E는 아마존 등 여러 마켓에서 베스트셀러인 스마트 전구이며, TP-Link Tapo는 Google Play에서 1천만번 다운로드된 스마트 기기 관리 앱입니다.

이 취약점들 중 첫 번째는 Tapo L503E의 인증 처리 미흡으로 공격자가 세션 키 교환 단계에서 장치를 가장할 수 있도록 하며, 이는 고위험의 취약점으로 공격자가 Tapo 사용자 비밀번호를 가져가거나 Tapo 장치를 조작할 수 있는 문제가 발생합니다. 두 번째 취약점은 하드 코딩된 짧은 체크섬 공유 비밀에서 비롯된 고위험 취약점으로 공격자가 무차별 대입 공격을 통해 이를 얻거나 Tapo 앱을 디컴파일 할 수 있습니다. 그 외 나머지 두 가지 취약점에 대해서도 마찬가지로 문제가 있습니다.

이 사항들에 대해 연구자들은 TP-Link에게 책임감 있게 공개했고, 해당 업체는 이 문제를 인지하고 어플과 전구 펌웨어에 대한 수정을 실시할 것이라고 밝혔습니다. 그러나 이러한 수정 사항이 이미 제공되었는지, 그리고 어떤 버전들이 여전히 공격에 취약한지에 대해서는 논문에서 명확히 밝히지 않았습니다.

요약

- 이탈리아와 영국 연구자들이 TP-Link Tapo L530E 스마트 전구와 TP-Link의 Tapo 앱에서 4가지 취약점을 발견했다.
- 공격자는 이 취약점들을 이용해 사용자의 WiFi 비밀번호를 훔치거나 장치를 조작할 수 있다.
- 이 취약점에 대해 TP-Link 사는 문제를 인지하고 수정을 실시할 것이라고 밝혔다.
- 그러나 어떤 버전들이 여전히 공격에 취약한지 논문에서 명확히 밝히지 않았다.
- 이 문제를 방지하기 위해 IoT 보안에 대한 일반적인 조언으로는 장치를 중요한 네트워크에서 분리하고, 최신 펌웨어 업데이트와 앱 버전을 사용하며 계정을 MFA와 강력한 비밀번호로 보호하는 것이 추천된다.

Reference

https://www.bleepingcomputer.com/news/security/tp-link-smart-bulbs-can-let-hackers-steal-your-wifi-password/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*