اكتشف اثنان من المتخصصين في أمن المعلومات من جامعة كاتانيا، بالتعاون مع زميل من جامعة لندن، أربع نقاط ضعف في واحدة من أشهر المصابيح الذكية TP-لينك. كتب دافيد بونافينتورا وجيامباولو بيلا وسيرجيو إسبوزيتو مقالًا يصف اختبارهم للمصباح الكهربائي الذكي وما اكتشفوه.
تتيح المصابيح الذكية، مثل تلك التي تنتجها شركة TP-Link، للمستخدمين التحكم في وظائف اللمبة عبر تطبيق على الهاتف الذكي. تتضمن هذه الميزات القدرة على اختيار لون المصباح الكهربائي، وجدولة مؤقت للإشارة إلى وقت تشغيله أو إيقاف تشغيله، ومراقبة استخدام الطاقة. يمكن أيضًا التحكم في المصابيح مباشرةً عبر شبكة Wi-Fi، مما يعني أنها لا تتطلب محورًا أو أجهزة أخرى. وهذه الميزة الأخيرة، وفقًا لثلاثي البحث، هي التي تجعل المصباح الكهربائي عرضة للاختراق من قبل المتسللين.
اختبار المصباح الذكي الأكثر شهرة تابو، L530Eحدد الباحثون أربع نقاط ضعف. تم وصف إحدى نقاط الضعف هذه بأنها خطيرة للغاية، حيث لم يكن للمصباح الكهربائي إمكانية الترخيص بينها وبين التطبيق المرتبط. وقد أتاح ذلك لفريق البحث انتحال شخصية المصباح الكهربائي أثناء جلسة اختبار، وتسجيل كلمة المرور المرتبطة بالمصباح الكهربائي، والتحكم في تصرفاته من هناك.
أما الثغرة الثانية، والتي صنفها الفريق على أنها خطيرة، فقد سمحت للمتسللين الذين كانوا بالقرب من الجهاز بالحصول على الرمز السري المستخدم للمصادقة عند اكتشاف الجهاز. أما الثغرة الثالثة فكانت عدم وجود عشوائية أثناء التشفير، مما جعل المخطط قابلاً للتنبؤ به، أما الثغرة الرابعة فقد سمحت للفريق بإعادة تشغيل الرسائل المرسلة من وإلى المصباح الكهربائي.
ويشير الثلاثي من الباحثين إلى أن الثغرة الأمنية المتعلقة بانتحال صفة المصباح الكهربائي تسمح بسرقة معلومات حساب Tapo، والتي يمكن استخدامها بشكل غير مباشر للكشف عن كلمة مرور Wi-Fi التي يستخدمها نظام Wi-Fi الذي تم توصيل المصباح الكهربائي به. بمجرد الحصول على كلمة المرور هذه، لم يتمكن المتسللون من الاستيلاء على الشبكة لاستخدامهم الخاص فحسب، بل من المحتمل أيضًا استخدامها للوصول إلى الأجهزة الأخرى على الشبكة.
أبلغ فريق البحث ما وجده إلى TP-Link وقيل له أن جميع الثغرات الأمنية التي تم العثور عليها قد تم إصلاحها وأن الإصلاحات قيد التطوير.
اقرأ أيضا: