Pesquisadores identificaram múltiplas falhas de segurança em lâmpadas inteligentes TP-Link Tapo L530E e no aplicativo Tapo, que já conta com mais de 10 milhões de instalações. As descobertas acendem um alerta sobre os riscos associados aos dispositivos IoT em suas redes.
A falha mais crítica permite que invasores se passem pelo dispositivo durante a autenticação, com uma pontuação de gravidade CVSS v3.1 de 8,8. Uma segunda vulnerabilidade, com pontuação de 7,6, envolve um segredo de verificação codificado que pode ser decifrado por força bruta. Outras falhas incluem criptografia previsível e chaves de sessão que permanecem válidas por 24 horas.
O cenário de ataque mais preocupante permite que hackers obtenham o SSID e a senha do Wi-Fi da rede ao explorar as duas primeiras vulnerabilidades. Isso abre a porta para comprometer outros dispositivos conectados à mesma rede. Ataques Man-In-The-Middle (MITM) também são viáveis, capturando chaves de criptografia RSA.
Embora a TP-Link tenha sido informada e tenha prometido correções, ainda não está claro se as atualizações de segurança já foram implementadas. Como medida preventiva, é importante isolar dispositivos IoT de redes sensíveis, manter o firmware atualizado e fortalecer as credenciais de acesso.