В камерах безопасности Kasa обнаружили уязвимости

В камерах безопасности Kasa обнаружили уязвимости, сообщает Securitylab.ru.

Об этом сообщил исследователь безопасности Джейсон Кент  из компании Cequence Security. Эксперт рассказал об обнаруженных проблемах в камерах TP-Link еще в марте текущего года. Однако разработчик до сих пор не исправил одну из проблем, позволяющую перехватить контроль над учетной записью.

Одной из самых опасных среди обнаруженных уязвимостей была небезопасная реализация SSL-сертификата в мобильном приложении Kasa. Оно применяет SSL-протокол для аутентификации, шифрования и дешифрования данных, отправляемых через интернет. Однако используемый SSL-сертификат не был закреплен. Закрепление сертификатов — мера безопасности, защищающая от атак олицетворения SSL-сертификатов путем использования ошибочно выданных или поддельных сертификатов. Проблема позволяла злоумышленнику осуществить MitM-атаку. Уязвимость была исправлена 11 июня, однако неясно, был ли патч установлен на устройства автоматически или потребителям придется загрузить патч самостоятельно.  

Исследователь также обратил внимание на уязвимость перехвата учетной записи, которая также не была исправлена.