關(guān)鍵詞

安全漏洞

打開網(wǎng)易新聞 查看精彩圖片

TP-Link Tapo H200 V1 物聯(lián)網(wǎng)智能集線器存在一個嚴重漏洞，該漏洞可能會讓用戶的 Wi-Fi 憑據(jù)暴露給攻擊者。

該漏洞編號 CVE-2025-3442，其根源在于該設(shè)備的固件以明文形式存儲敏感信息，這使得能夠?qū)嶋H接觸到該設(shè)備的攻擊者可以獲取這些信息。該漏洞被歸類為 CWE-312（敏感信息明文存儲），原因是設(shè)備的固件以明文形式存儲 Wi-Fi 憑據(jù)。

這一嚴重的疏忽使得能夠?qū)嶋H接觸到設(shè)備的攻擊者可以提取并分析固件的二進制數(shù)據(jù)，從而有可能危及 Wi-Fi 網(wǎng)絡的安全。

TP-Link IoT Smart Hub 漏洞

根據(jù) CERT-In 的評估，該漏洞會影響運行固件版本 1.4.0 或更早版本的 TP-Link Tapo H1 V1.4.0 Smart Hub 設(shè)備。

其嚴重程度被評定為中等，通用漏洞評分系統(tǒng)（CVSS）基礎(chǔ)得分為 4.4 分。雖然攻擊途徑需要實際接觸設(shè)備以及具備提取和分析固件的技術(shù)知識，這限制了它被廣泛利用的可能性，但對于受影響的用戶來說，潛在影響仍然很大。

“出現(xiàn)這個問題是因為固件沒有對設(shè)備用于連接用戶無線網(wǎng)絡的 Wi-Fi 憑據(jù)進行加密或混淆處理?！?熟悉該漏洞的安全專家解釋道。

一旦攻擊者獲取了這些憑據(jù)，他們就可以加入網(wǎng)絡，竊聽通信內(nèi)容，并且有可能對其他已連接的設(shè)備發(fā)動攻擊。

TP-Link Tapo H200 Smart Hub 是連接和控制各種智能家居設(shè)備（包括運動傳感器、門磁傳感器和燈光開關(guān)）的核心設(shè)備。

它使用戶能夠創(chuàng)建自動化程序、監(jiān)控家庭安全，并通過移動應用程序或語音助手遠程控制 IoT 設(shè)備。

孟買的安全研究人員 Shravan Singh、Ganesh Bakare 和 Abhinav Giridhar 負責任地披露了該漏洞。

他們的發(fā)現(xiàn)凸顯了 IoT 安全領(lǐng)域持續(xù)存在的挑戰(zhàn)，尤其是在憑據(jù)管理方面。

以下是該漏洞的概述：

風險因素

受影響產(chǎn)品

TP-Link Tapo H200 V1 物聯(lián)網(wǎng)智能集線器（固件版本 1.4.0 或更早版本）

影響

Wi-Fi 憑據(jù)暴露，導致未經(jīng)授權(quán)的網(wǎng)絡訪問

利用前提條件

實際接觸該設(shè)備，以及具備提取和分析固件的技術(shù)知識

CVSS 3.1 評分

4.4 分（中等嚴重程度）

緩解措施

為緩解這一漏洞，CERT-In 建議立即采取以下幾項措施。用戶應將其 Smart Hub 的固件升級到 1.5.0 版本。

此外，用戶應限制對設(shè)備的實際接觸，監(jiān)控網(wǎng)絡活動以發(fā)現(xiàn)未經(jīng)授權(quán)的連接，如果懷疑設(shè)備已被入侵，應考慮更改 Wi-Fi 密碼。

對于安全要求較高的環(huán)境，專家建議通過將 IoT 設(shè)備放置在單獨的網(wǎng)絡或虛擬局域網(wǎng)（VLAN）中來實施網(wǎng)絡分段，以遏制潛在的安全漏洞。

這一事件凸顯了 IoT 安全領(lǐng)域的一個根本性挑戰(zhàn)：設(shè)備需要憑據(jù)才能訪問網(wǎng)絡，但又必須連接到網(wǎng)絡才能安全地獲取憑據(jù)。傳統(tǒng)的設(shè)備入網(wǎng)方法往往涉及繁瑣且不安全的流程，會導致敏感信息暴露。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！