วิศวกรความปลอดภัยของ Google เปิดเผยข้อบกพร่องในเราเตอร์สมาร์ทโฮมของ TP-Link

ช่องโหว่ที่ไม่มีวันส่งผลกระทบต่อเราเตอร์สมาร์ทโฮม TP-Link SR20 ได้รับการเปิดเผยต่อสาธารณะ หลังจาก บริษัทที่ถูกกล่าวหาว่าล้มเหลวในการตอบสนองต่อการเปิดเผยข้อมูลส่วนตัวของนักวิจัย

Matthew Garrett วิศวกรด้านความปลอดภัยของ Google เปิดเผยข้อผิดพลาดหลังจากที่บริษัทไม่สามารถแก้ไขปัญหาได้ภายใน 90 วัน ซึ่งเป็นช่วงเวลาที่กำหนดไว้ในระบบรักษาความปลอดภัยบนโลกไซเบอร์ ซึ่งถือว่าเป็นระยะเวลาที่เหมาะสมแก่ผู้ขาย

ข้อบกพร่องด้านความปลอดภัยเป็นข้อผิดพลาดในการใช้รหัส (ACE) แบบ zero-day bug ในเราเตอร์ TP-Link SR20 ซึ่งเป็นผลิตภัณฑ์ดูอัลแบนด์ 2.4 GHz / 5 GHz ซึ่งมีการขนานนามว่าเป็นเราเตอร์ที่เหมาะสมสำหรับการควบคุมอุปกรณ์อัจฉริยะ

SR20 ยังรองรับอุปกรณ์ที่ใช้ประโยชน์จากโปรโตคอล ZigBee และ Z-Wave

Garrett เปิดเผยการค้นพบของเขาต่อ TP-Link เมื่อ 90 วันที่ผ่านมาซึ่งบันทึกไว้ในฟีดการสนทนา Twitter นี้ผ่านทางแบบฟอร์มการเปิดเผยความปลอดภัยออนไลน์ของบริษัท

แม้จะมีนักวิจัยที่มีแนวโน้มของ TP-Link แต่พวกเขาจะได้รับการตอบกลับภายในสามวันทำการ สัปดาห์ต่อมาก็ไม่มีคำตอบ ความพยายามในการติดต่อ TP-Link ผ่านช่องทางอื่นก็ล้มเหลวเช่นกัน

ตามที่ Garrett กล่าว ปัญหาอยู่ในกระบวนการที่เราเตอร์ TP-Link ทำงานบ่อยเรียกว่า “tddp” โปรโตคอลการดีบักอุปกรณ์ TP-Link กระบวนการนี้รันที่ระดับรูทและสามารถเริ่มต้นคำสั่งสองรูปแบบประเภทหนึ่งที่ไม่ต้องการการตรวจสอบความถูกต้อง

 

 

https://www.zdnet.com

แสดงความคิดเห็นกับบทความนี้