محدث 12:20 مساءً السبت 30 مارس ببيان من TP-Link.

إذا كنت تمتلك a راوتر لاسلكي منزلي TP-Link SR20، والذي يتضاعف أيضًا كمحور منزلي ذكي باستخدام واجهة TP-Link's Kasa ، فمن الأفضل مشاهدة من أو ما الذي ينضم إلى شبكة Wi-Fi المنزلية.

ذلك لأن أي شخص أو أي شيء على الشبكة يمكنه السيطرة الكاملة على جهاز التوجيه ، وبالتالي التحكم الكامل في جميع اتصالاتك وأنشطتك على الإنترنت.

الائتمان: دليل توم
(رصيد الصورة: دليل توم)

هذه الكلمة تأتي من ماثيو جاريت، مطور أمان Google. قال على تويتر وفي نشر مدونة أنه وجد العيب في ديسمبر وكان يحاول جذب انتباه TP-Link منذ ذلك الحين ، دون جدوى.

نأمل أن تقوم TP-Link بإصلاح الخلل قريبًا بعد أن جعله Garrett للعامة. ولكن حتى ذلك الحين ، تأكد من أن كلمة مرور وصول Wi-Fi الخاصة بك هي قوي وفريد، لا تدع أي أشخاص أو أجهزة على الشبكة لا تثق بها ، وتأكد من تشغيل جدار الحماية الخاص بـ TP-Link SR20.

قد ترغب أيضًا في إيقاف تشغيل أي أجهزة منزلية ذكية لا تحتاجها ، كأجهزة منزلية ذكية بها عيوبهم الأمنية يمكن استغلالها واستخدامها لشن هجوم على جهاز التوجيه.

أكثر: أفضل محاور المنزل الذكي

هجوم Garrett ممكن لأن هناك بروتوكول تصحيح أخطاء (أي تشخيصي) على العديد من أجهزة TP-Link التي لا تطلب كلمة مرور إدارية كما ينبغي. من المحتمل أن يكون الهجوم يعمل على أجهزة TP-Link الأخرى ، لكن Garrett لم تتح له الفرصة لاختبارها.

بلغة إنجليزية بسيطة ، وجد Garrett طريقة للوصول إلى جهاز التوجيه TP-Link ، وجعله يطلب منه ملفًا معينًا ، ثم يمنح جهاز التوجيه حزمة ضارة تتولى السيطرة على جهاز التوجيه.

وبشكل أكثر تحديدًا ، وجد Garrett أنه يمكنه إرسال موجه SR20 أمر Linux من كمبيوتر محمول متصل والحصول على بروتوكول التصحيح على جهاز التوجيه بدوره طلب ملف من دليل محدد على جهازه آلة. بمجرد أن يتلقى جهاز التوجيه الملف ، يتم تمريره إلى عملية تعمل كجذر. إذا كان الملف في الواقع أمرًا قابلاً للتنفيذ ، فسيقوم جهاز التوجيه بتشغيله كجذر.

لقد نشر غاريت مقتطف من التعليمات البرمجية لإثبات صحة المفهوم للهجوم عبر الإنترنت. يبلغ طولها 38 سطرًا فقط - وهي صغيرة بما يكفي لتناسب مساحة التخزين الخاصة بمصباح كهربائي ذكي أو محمصة خبز ذكية أو تلفزيون ذكي. أي شيء يتصل بالموجه عبر Wi-Fi سيفي بالغرض. (يتصل SR20 أيضًا بأجهزة منزلية ذكية منخفضة الطاقة عبر Zigbee و Z-Wave ، لكن هجوم Garrett يجب ألا يعمل على تلك البروتوكولات اللاسلكية.)

إذا تمكن المتسلل من إضافة رمز هجوم Garrett عن بعد إلى جهاز المنزل الذكي غير الآمن ، والذي يوجد به زيليون ، ثم يمكن أن يستحوذ الرمز على جهاز التوجيه TP-Link SR20 الخاص بك ، وربما أي جهاز توجيه TP-Link آخر مشابه تم تكوينه.

وصل Tom's Guide إلى ممثلي TP-Link للتعليق ، وسنقوم بتحديث هذه القصة عندما نتلقى ردًا.

تحديث: أصدرت TP-Link بيانًا كاملاً:

"كان TP-Link على علم بهذه الثغرة الأمنية ويعمل على إصدار تحديث للبرامج الثابتة لمعالجة الثغرة الأمنية. لضمان أمانك ، توصي TP-Link المستخدمين بالتحديث إلى أحدث البرامج الثابتة ، والتي سيتم إصدارها في وقت مبكر من الأسبوع المقبل.

  • أمان الأجهزة الذكية أمر مروع ، ولكنه يزداد سوءًا
  • أفضل الموجهات اللاسلكية
  • كيفية تأمين منزلك الذكي (الذي يمكن اختراقه بسهولة)

احصل على وصول فوري إلى الأخبار العاجلة وأحدث المراجعات والصفقات الرائعة والنصائح المفيدة.

شكرًا لك على الاشتراك في دليل Tom. سوف تتلقى رسالة بريد إلكتروني للتحقق قريبا.

كان هناك مشكلة. يرجى تحديث الصفحة وحاول مرة أخرى.

لا بريد مزعج ، نحن نعد. يمكنك إلغاء الاشتراك في أي وقت ولن نشارك بياناتك مطلقًا دون إذنك.