Lampen gaben WLAN-Passwort preis

Update: TP-Link veröffentlicht Security-Update für smarte Glühbirnen

Uhr
von Calvin Lampert und msc, lha

TP-Link hat Stellung zu den offengelegten Schwachstellen in seiner Tapo-LP530E-Smart-Glühbirne und der dazugehörigen Steuer-App genommen. Für eine Version der Glühbirne steht nun ein Firmware-Update bereit, für die beiden anderen Modelle sowie die App soll ein Update demnächst folgen.

Die Tapo-LP530E kann Hackern das WLAN-Passwort verraten. (Source: TP-Link)
Die Tapo-LP530E kann Hackern das WLAN-Passwort verraten. (Source: TP-Link)

Update vom 23.8.2023: TP-Link hat eine Stellungnahme zu den Schwachstellen in smarten Glühbirnen veröffentlicht. Das Unternehmen sei sich der Bedrohung bewusst und habe eine neue Firmware für die zweite Version der Glühbirne Tapo-LP530E veröffentlicht. Laut TP-Link befindet sich das Update für die Firmware der ersten und dritten Version noch "im Veröffentlichungsprozess". Gleiches gelte für die App. TP-Link hält seine Kundschaft dazu an, das Firmware- und das App-Update schnellstmöglich zu installieren, sobald diese verfügbar sind.

Originalmeldung vom 22.8.2023: Smarte Glühbirnen verplaudern WLAN-Passwort

Forschende aus Italien und Grossbritannien haben vier Schwachstellen in TP-Links Tapo-LP530E-Smart-Glühbirne und der Tapo-App offengelegt, welche es Hackern erlauben könnten, das WLAN-Passwort des Netzwerkes offenzulegen. Wie "Bleeping Computer" berichtet, analysierten die Forschende die Glühbirne und die dazugehörige App aufgrund der grossen Beliebtheit der Produkte auf dem Beleuchtungsmarkt, wollten aber auch allgemein Aufmerksamkeit auf IoT-Security richten.

Gerade die ersten beiden Schwachstellen seien Grund zur Besorgnis - sie wurden als hochgradig gefährlich eingestuft und ermöglichten es Angreifern, Tapo-Benutzerpasswörter auszulesen und angeschlossene Geräte zu manipulieren. Mit dem richtigen Vorgehen könnten sich die Angreifer erst die Tapo-Nutzungsdaten ihres Opfer zu Eigen machen, sich auf der Tapo-App einloggen und dann die SSID und das Passwort des WLAN extrahieren. Zwar müssten die Glühbirnen im Setup-Modus sein, damit der Angriff funktioniert, jedoch könnten Hacker die Glühbirnen einfach de-autorisieren, um Nutzerinnen und Nutzer dazu zu verleiten, die Glühbirnen in den Setup-Modus zu versetzen. 

Laut "Bleeping Computer" wurden die Infos zu den Schwachstellen von den Forschenden an TP-Link weitergeleitet. Der Hersteller entgegnete gegenüber den Forschenden, dass man demnächst Patches für die App und die Firmware der Glühbirnen implementieren würde.

Ob diese Updates inzwischen ausgerollt sind, sei aber unklar. Generell rät "Bleeping Computer" dazu, Smart-Devices von kritischen Netzwerken zu isolieren, immer die aktuellsten Apps und Firmwares zu verwenden und Accounts durch starke Passwörter und Multi-Faktor-Autorisierung zu schützen. 

Der IoT Security Landscape Report zeigt, dass Cyberkriminelle besonders gerne über Smart-TVs in heimische Netzwerke einbrechen. Hier erfahren Sie mehr.

Webcode
8niiFBUX