GÜNCELLENMİŞ 12:20 30 Mart Cumartesi, TP-Link'ten açıklama ile.

Eğer bir TP-Link SR20 ev kablosuz yönlendiriciTP-Link'in Kasa arayüzünü kullanan bir akıllı ev merkezi olarak da ikiye katlanan, ev Wi-Fi ağınıza kimin veya neyin katıldığını izlemeniz daha iyi olur.

Bunun nedeni, ağdaki herhangi birinin veya herhangi bir şeyin yönlendiricinin tam kontrolünü ve dolayısıyla tüm internet bağlantılarınızın ve faaliyetlerinizin tam kontrolünü ele geçirebilmesidir.

Kredi: Tom'un Kılavuzu
(Resim kredisi: Tom's Guide)

Bu kelime nereden geliyor Matthew Garrett, bir Google güvenlik geliştiricisi. Twitter'da ve bir blog yazısı Kusuru Aralık ayında bulduğunu ve o zamandan beri TP-Link'in dikkatini boşa çıkarmaya çalıştığını söyledi.

TP-Link'in, Garrett'in kamuoyuna duyurması nedeniyle yakında sorunu çözeceğini umuyoruz. Ancak o zamana kadar Wi-Fi erişim şifrenizin güçlü ve benzersiz, ağda güvenmediğiniz kişi veya cihazlara izin vermeyin ve TP-Link SR20'nizin güvenlik duvarının açık olduğundan emin olun.

Akıllı ev cihazları gibi ihtiyacınız olmayan tüm akıllı ev cihazlarını da kapatmak isteyebilirsiniz.

kendi güvenlik kusurları kötüye kullanılabilir ve yönlendiriciye bir saldırı başlatmak için kullanılabilir.

DAHA: En İyi Akıllı Ev Hub'ları

Garrett'ın saldırısı mümkündür, çünkü birçok TP-Link cihazında olması gerektiği kadar sık ​​bir yönetim şifresi istemeyen bir hata ayıklama (yani teşhis) protokolü vardır. Saldırının diğer TP-Link cihazlarında işe yaraması mümkündür, ancak Garrett onları test etme şansı bulamamıştır.

Düz bir İngilizce olarak, Garrett, TP-Link yönlendiricisine ulaşmanın, ondan belirli bir dosya istemesini sağlamanın ve ardından yönlendiriciye yönlendiriciyi ele geçiren zehirli bir paket vermenin bir yolunu buldu.

Daha spesifik olarak, Garrett, SR20 yönlendiricisine bağlı bir dizüstü bilgisayardan bir Linux komutu gönderebileceğini fark etti. yönlendiricideki hata ayıklama protokolünü alın ve sırayla, yönlendiricideki belirli bir dizinden bir dosya isteyin. makine. Yönlendirici dosyayı aldıktan sonra, kök olarak çalışan bir işleme geçirilir. Dosya aslında çalıştırılabilir bir komutsa, yönlendirici onu kök olarak çalıştıracaktır.

Garrett yayınladı bir kavram kanıtı kod pasajı çevrimiçi saldırı için. Yalnızca 38 satır uzunluğunda - akıllı bir ampulün, akıllı ekmek kızartma makinesinin veya akıllı TV'nin saklama alanına sığacak kadar küçük. Yönlendiriciye Wi-Fi aracılığıyla bağlanan her şey işe yarar. (SR20 ayrıca Zigbee ve Z-Wave aracılığıyla düşük güçlü akıllı ev cihazlarına da bağlanır, ancak Garrett'ın saldırısı bu kablosuz protokoller üzerinden çalışmamalıdır.)

Bir bilgisayar korsanı, Garrett'in saldırı kodunu, zilyonlarca var olan güvenli olmayan bir akıllı ev cihazına uzaktan ekleyebilirse, daha sonra kod TP-Link SR20 yönlendiricinizi ve muhtemelen benzer şekilde diğer herhangi bir TP-Link yönlendiricinizi devralabilir yapılandırıldı.

Tom's Guide yorum için TP-Link temsilcilerine ulaştı ve bir yanıt aldığımızda bu hikayeyi güncelleyeceğiz.

GÜNCELLEME: TP-Link tam olarak bir bildiri yayınladı:

"TP-Link bu güvenlik açığının farkındadır ve güvenlik açığını gidermek için bir ürün yazılımı güncellemesi yayınlamaya çalışmaktadır. Güvenliğinizi sağlamak için TP-Link, kullanıcıların önümüzdeki haftanın başlarında yayınlanacak olan en son aygıt yazılımına güncellemelerini önerir. "

  • Akıllı Aygıt Güvenliği Korkunç, Yalnızca Daha Kötü Oluyor
  • En İyi Kablosuz Yönlendiriciler
  • (Kolayca Hacklenebilir) Akıllı Evinizi Nasıl Koruyabilirsiniz?

Flaş haberlere, en yeni incelemelere, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.