TP-Link Kasa Spot EC71 安全漏洞與韌體 2.4.1 修復方案
TP-Link Kasa Spot EC71 安全漏洞與韌體 2.4.1 修復方案
TP-Link 已修復 Kasa Spot EC71 室內攝影機中的多個嚴重安全漏洞,這些漏洞曾導致精確的家庭 GPS 座標外洩、使用全機隊規模的加密金鑰,以及不安全地儲存使用者憑證。這些問題被追蹤為 CVE-2026-9770 與 CVE-2026-13230,已在韌體版本 2.4.1 中解決。
未經授權的 GPS 外洩 (CVE-2026-13230)
向連接埠 9999 發送單個未經授權的 UDP 封包,即可洩漏裝置持有者的精確家庭 GPS 座標與硬體指紋。 此漏洞允許區域網路上的任何行為者取得次米級的經緯度數據,以及唯一的硬體識別碼 (oemId, hwId, deviceId, mac)、使用者指定的裝置別名,以及韌體版本。
技術細節
- 觸發方式:向 UDP 連接埠 9999 發送酬載
{"system":{"get_sysinfo":{}}}。 - 加密方式:回應內容受一個簡單的 XOR 密碼保護,Wireshark 可直接將其解碼為明文。
- 數據來源:GPS 座標是在建立帳戶期間從行動裝置擷取的,並永久儲存於裝置的韌體中 (
config/location)。 - 協定歷史:此協定的未經授權特性自 2016 年以來便已記錄在案,且早在 2020 年 8 月就曾在其他 TP-Link 攝影機型號(例如 KC100)中報告過相同的 GPS 外洩問題。
隱私與合規性影響
無論使用者是否啟用了「地理圍欄 (Geofencing)」功能,精確位置數據的收集與廣播都會發生。這與 TP-Link 自身的 Kasa 隱私政策相抵觸,該政策指出,僅在啟用 Geofencing 時才會收集精確位置(經緯度)。
加密失敗與憑證竊取 (CVE-2026-9770)
Kasa Spot EC71 使用了全機隊規模的 RSA 私鑰,並使用未加鹽 (unsalted) 的 MD5 哈希值來儲存全域 TP-Link ID 憑證。 這些失敗為整個 TP-Link 生態系統提供了完整的帳戶接管路徑。
全機隊規模的 RSA 金鑰
韌體 v2.3.26 包含兩組全機隊規模的 RSA 金鑰/憑證對。所有執行該韌體版本的裝置都使用相同的 2048 位元 RSA 私鑰。攻擊者若從單個裝置的 SPI flash 中提取此金鑰,便有可能攔截或偽造整個已部署機隊的流量。
不安全的憑證儲存
使用者雲端帳戶憑證 (TP-Link ID) 以未加鹽的 MD5 哈希值儲存在 config/account 中,且電子郵件地址以明文形式儲存。由於 TP-Link ID 在所有產品(包括 Tapo 智慧鎖與 Deco mesh 系統)中都是全域通用的,因此透過彩虹表 (rainbow tables) 破解這些簡單的哈希值,即可實現跨領域的帳戶接管。
二手市場攻擊路徑
在韌體 2.3.26 上恢復出廠設定的裝置,無法清除敏感的使用者數據,導致新持有者可以找回前任持有者的身份與位置。
購買二手 EC71 的攻擊者可以執行以下鏈條:
位置恢復:在設定過程中連接到裝置的軟 AP,並向連接埠 9999 發送 UDP 封包以取得前任持有者的精確家庭 GPS 座標。
憑證提取:使用 SPI flash 燒錄器提取 flash 儲存空間中的 TP-Link ID 電子郵件 (明文) 與 MD5 密碼哈希值。
帳戶接管:破解 MD5 哈希值以取得密碼,並對任何 TP-Link 平台(Kasa, Tapo, Deco, VIGI)進行身份驗證。
關聯聯結:使用找回的 GPS 座標將受害帳戶與實際的住宅地址進行關聯。
修復方案與韌體驗證
所有主要漏洞都已在韌體版本 2.4.1 中修復。
- GPS 外洩:連接埠 9999 不再回應未經授權的
get_sysinfo請求。Kasa app 現在使用透過 UDP 廣播的公開 RSA 金鑰進行身份驗證後的探索功能。 - RSA 金鑰:已移除全機隊規模的憑證。裝置現在使用透過 NOC 憑證基礎設施配置的單一裝置專屬 EC 金鑰。
- 憑證儲存:已透過
check_default_config程序實施了靜態資料加密 (at-rest encryption)。 - 安全更新:mbedTLS 已從版本 2.6.0 升級至 2.28.1。
披露與分級處理分析
自 2026 年 1 月 5 日開始的協調披露過程揭示了顯著的分級處理 (triage) 缺陷。研究人員指出,廠商的響應日期為 2026 年 5 月 29 日,其內容引用了在報告的酬載中並不存在的 MD5 哈希值欄位,這表明該發現已被忽略。此外,一個測試用的 beta 韌體版本 (v2.4.00) 導致測試裝置永久損壞 (bricked),需要透過硬體層級的 SPI reflashing 進行修復。
"在 TP-Link Kasa 攝影機上進行了六個月的協調披露,結果卻得到了兩個 CVE,一個廠商在分級處理時失敗,描述了一個在報告的酬載中不存在的漏洞,以及一個導致測試裝置永久損壞的 beta 修補程序,還有一個無法清除前任持有者數據的恢復出廠設定。" — Christopher Childress (BadChemical)