Malwarebytesは8月25日(米国時間)、「Smart lightbulb and app vulnerability puts your Wi-Fi password at risk」において、TP-Linkのスマート電球とそのアプリにWi-Fi接続情報を流出させる脆弱性があるとして、注意を喚起した。

ロンドン大学およびカターニア大学の研究者が発表した論文により、TP-Link Tapo L530EおよびTapoアプリには脆弱性があることが判明したという。

  • Smart lightbulb and app vulnerability puts your Wi-Fi password at risk

    Smart lightbulb and app vulnerability puts your Wi-Fi password at risk

論文では、主に次の4つの脆弱性が見つかったと述べている。

  1. Tapoアプリは装置を認証しない。誰でもスマート電球になりすますことができる
  2. Tapoアプリとスマート電球で使用される共通鍵が短いため鍵を窃取可能。論文の実験環境ではブルートフォース攻撃により、平均140分で鍵の取得が可能とされる
  3. Tapoアプリとスマート電球間でやり取りされるメッセージはAES128-CBCで暗号化されるが、共通鍵とともに生成される初期ベクトル(IV)が鍵の存続期間中に更新されない。これは暗号化されたメッセージがそのまま再利用可能であることを意味する
  4. Tapoアプリとスマート電球は受信したメッセージの有効性や重複をチェックしない。上記(3)との組み合わせにより、暗号化されたままのメッセージを再送信することによってスマート電球を操作できる

論文によると、TP-Link Tapo L530Eは動作のためにインターネットアクセスを必要としており、Wi-Fiアクセスポイントへの接続情報を設定する必要があるという。Tapoアプリはこれを実現するため、初期の認証を完了する際にWi-Fiへの接続情報をTP-Link Tapo L530Eに送信する。この仕組みにより、上記の(1)と(2)の脆弱性を悪用して偽の装置と認証を行わせることで、Wi-Fi接続情報を窃取することができる。初期の認証を完了している場合は使えない手法のように見えるが、Tapoアプリから強制的に認証を解除できてしまうため、ユーザーに再度認証をさせて窃取を試みることができるとされる。

TP-Linkはこれら脆弱性を解決する新しいファームウェアとアプリをリリースしている。脆弱性のある製品とバージョンは次のとおり。

  • ファームウェアバージョン 1.0.x 以前のTapo L530(L530B, L530Eを含む)
  • バージョン2.17.x以前のTapoアプリ

該当している製品を利用している場合は、速やかにファームウェアとアプリを更新することが望まれている。