TP-Link의 의견으로 업데이트되었습니다.
Kasa 스마트 홈 제품 라인으로 TP-Link에서 만들고 판매하는 하나 이상의 보안 카메라는 Kasa 모바일 앱의 몇 가지 심각한 취약점으로 인해 쉽게 해킹될 수 있다고 새로운 보고서에서 한 연구원이 밝혔습니다.
에 따르면 시퀀스 보안 (새 탭에서 열림) 연구원 Jason Kent는 해커가 TP-Link의 다양한 Kasa 가정용 보안 카메라용 앱의 보안 결함을 이용하여 이미지, 비디오 및 설정에 대한 원격 액세스 권한을 얻을 수 있다고 밝혔습니다.
동일한 앱이 Kasa 스마트 플러그, 스마트 전구 및 스마트 벽 스위치를 제어합니다. 동일한 앱 결함이 해당 제품에 적용될 수 있는지 여부는 확실하지 않습니다.
- 최고의 바이러스 백신: 온라인 상태에서 최고의 소프트웨어로 보호
- VPN: 최고의 가상 사설망으로 온라인에서 익명을 유지하세요
- 방금: 온라인에서 사용 가능한 150억 개의 도난당한 사용자 이름 및 암호
몇 가지 버그
Tom’s Guide는 의견을 위해 TP-Link에 연락했으며 응답을 받으면 이 이야기를 업데이트할 것입니다.
[UPDATE: TP-Link said all the problems were fixed by July 17, and Jason Kent’s blog post was updated to reflect that change.]
Kent는 Kasa 카메라를 구입했을 때 결함을 발견했고 잠재적인 보안 문제를 발견했습니다.
“설치하자마자 모바일 애플리케이션이 네트워크를 통해 카메라에 직접 연결되고 네트워크에 연결되어 있지 않아도 모바일 앱에서 내 카메라의 이미지를 볼 수 있다는 것을 깨달았습니다. 보안 전문가로서 이것은 저를 걱정했습니다.”라고 그는 말했습니다.
추가 조사에서 그는 카메라에 부적절하게 보안된 SSL(Secure Sockets Layer) 인증서가 있어 해커가 카메라와 앱 간의 통신을 보고 편집할 수 있는 중간자 공격에 취약하다는 사실을 발견했습니다. .
그는 SSL 인증서가 고정되어 있지 않기 때문에 사기꾼들이 “쉽게 열어서 거래를 볼 수 있다”고 말했습니다.
SSL 고정은 중간자 공격과 이러한 인증서가 스푸핑되는 것을 방지합니다.
“또한 인증이 단순히 Base64로 인코딩된 사용자 이름:암호가 SSL 하에서 전달되는 것임을 발견했습니다. 보안 모범 사례는 응용 프로그램이 인증서를 고정하는 가치를 인코딩하고 반복하는 대신 SSL에서 해시해야 한다고 지시합니다.”라고 Kent는 말했습니다.
Base64는 암호화가 아니라 간단한 텍스트 기반 형식으로 바이너리 데이터를 인코딩하는 방법입니다. 전혀 안전하지 않습니다.
예를 들어 이진법의 “암호”는 “0111000001100001011100110111001101110111011011110111001001100100”으로 다소 길고 다루기 어렵습니다. 그러나 Base64에서는 “암호”가 더 관리하기 쉬운 “cGFzc3dvcmQ=”입니다. 암호화된 것처럼 보일 수 있지만 실제로는 그렇지 않습니다. 쉽게 다시 번역 (새 탭에서 열림) “비밀번호”로.
계정 탈취
Kent는 3월에 TP-Link에 보고한 Kasa 앱의 엉성한 계정 인증 프로토콜이 아직 패치되지 않았으며 범죄자가 계정 탈취 노력의 일환으로 크리덴셜 스터핑 공격을 쉽게 수행할 수 있다고 경고했습니다.
존재하지 않는 사용자 이름이나 잘못된 비밀번호를 입력하면 Kasa 모바일 앱이 알려주므로 공격자가 가능한 사용자 이름 또는 비밀번호 목록에서 항목을 빠르게 지울 수 있기 때문입니다.
Kent는 다음과 같이 설명했습니다. 자동화된 사이버 공격(봇)과 싸우고 자동화된 공격을 막는 사람으로서 저는 인증 엔드포인트에 자세한 API 오류 메시지가 있으면 계정 탈취(ATO) 공격으로 이어진다는 것을 알고 있습니다.”
이러한 결함을 이용하여 공격자가 크리덴셜 스터핑 공격을 시작할 수 있습니다. 그는 “이제 공격자가 이메일 목록을 기반으로 사용자 이름을 열거하는 것이 가능합니다. 알려진 양호한 사용자 이름 목록이 설정되면 암호 공격이 시작될 수 있습니다.
“ATO는 공격자가 좋은 사용자 이름과 일치하는 암호가 무엇인지 쉽게 이해할 수 있을 때 훨씬 더 쉽게 발생합니다. 이것은 암호를 추측하기 위한 크리덴셜 스터핑 공격으로 이어질 것입니다. 그렇지 않으면 공격자는 올바른 사용자 이름을 입력하고 암호 재설정 메커니즘을 통해 계정을 탈취해야 합니다.”
잘못된 자격 증명 집합을 제공한 경우 이유를 밝히지 않고 앱이 사용자를 로그아웃 상태로 유지하는 것이 보안에 더 좋습니다.
작은 행동
지난 3월 제조사에 연락을 취했음에도 불구하고 일부 미흡한 부분이 남아있다. 그는 “그러나 이 글을 쓰는 시점에서 그들은 플랫폼에서 정보 공개를 수정하지 않았으며 Credential Stuffing을 사용한 ATO는 여전히 가능한 결과입니다. 그들의 API는 공격자에게 더 효율적인 방법을 알려주고 공격자가 유효한 사용자 이름과 암호 조합을 알아낼 수 있도록 도와줍니다.”
이러한 공격을 피하려면 사용자가 고유한 암호를 설정하고 장치에서 최신 소프트웨어를 사용하고 있는지 확인하는 것이 좋습니다.
- 더 읽어보기: 오늘날 최고의 가정용 보안 카메라를 선택했습니다.