TP-Link Kasa Spot EC71 安全漏洞與韌體 2.4.1 修復方案

TP-Link Kasa Spot EC71 安全漏洞與韌體 2.4.1 修復方案

TP-Link 已修復 Kasa Spot EC71 室內攝影機中的多個嚴重安全漏洞,這些漏洞曾導致精確的家庭 GPS 座標外洩、使用全機隊規模的加密金鑰,以及不安全地儲存使用者憑證。這些問題被追蹤為 CVE-2026-9770 與 CVE-2026-13230,已在韌體版本 2.4.1 中解決。

未經授權的 GPS 外洩 (CVE-2026-13230)

向連接埠 9999 發送單個未經授權的 UDP 封包,即可洩漏裝置持有者的精確家庭 GPS 座標與硬體指紋。 此漏洞允許區域網路上的任何行為者取得次米級的經緯度數據,以及唯一的硬體識別碼 (oemId, hwId, deviceId, mac)、使用者指定的裝置別名,以及韌體版本。

技術細節

  • 觸發方式:向 UDP 連接埠 9999 發送酬載 {"system":{"get_sysinfo":{}}}
  • 加密方式:回應內容受一個簡單的 XOR 密碼保護,Wireshark 可直接將其解碼為明文。
  • 數據來源:GPS 座標是在建立帳戶期間從行動裝置擷取的,並永久儲存於裝置的韌體中 (config/location)。
  • 協定歷史:此協定的未經授權特性自 2016 年以來便已記錄在案,且早在 2020 年 8 月就曾在其他 TP-Link 攝影機型號(例如 KC100)中報告過相同的 GPS 外洩問題。

隱私與合規性影響

無論使用者是否啟用了「地理圍欄 (Geofencing)」功能,精確位置數據的收集與廣播都會發生。這與 TP-Link 自身的 Kasa 隱私政策相抵觸,該政策指出,僅在啟用 Geofencing 時才會收集精確位置(經緯度)。

加密失敗與憑證竊取 (CVE-2026-9770)

Kasa Spot EC71 使用了全機隊規模的 RSA 私鑰,並使用未加鹽 (unsalted) 的 MD5 哈希值來儲存全域 TP-Link ID 憑證。 這些失敗為整個 TP-Link 生態系統提供了完整的帳戶接管路徑。

全機隊規模的 RSA 金鑰

韌體 v2.3.26 包含兩組全機隊規模的 RSA 金鑰/憑證對。所有執行該韌體版本的裝置都使用相同的 2048 位元 RSA 私鑰。攻擊者若從單個裝置的 SPI flash 中提取此金鑰,便有可能攔截或偽造整個已部署機隊的流量。

不安全的憑證儲存

使用者雲端帳戶憑證 (TP-Link ID) 以未加鹽的 MD5 哈希值儲存在 config/account 中,且電子郵件地址以明文形式儲存。由於 TP-Link ID 在所有產品(包括 Tapo 智慧鎖與 Deco mesh 系統)中都是全域通用的,因此透過彩虹表 (rainbow tables) 破解這些簡單的哈希值,即可實現跨領域的帳戶接管。

二手市場攻擊路徑

在韌體 2.3.26 上恢復出廠設定的裝置,無法清除敏感的使用者數據,導致新持有者可以找回前任持有者的身份與位置。

購買二手 EC71 的攻擊者可以執行以下鏈條:

  1. 位置恢復:在設定過程中連接到裝置的軟 AP,並向連接埠 9999 發送 UDP 封包以取得前任持有者的精確家庭 GPS 座標。

  2. 憑證提取:使用 SPI flash 燒錄器提取 flash 儲存空間中的 TP-Link ID 電子郵件 (明文) 與 MD5 密碼哈希值。

  3. 帳戶接管:破解 MD5 哈希值以取得密碼,並對任何 TP-Link 平台(Kasa, Tapo, Deco, VIGI)進行身份驗證。

  4. 關聯聯結:使用找回的 GPS 座標將受害帳戶與實際的住宅地址進行關聯。

修復方案與韌體驗證

所有主要漏洞都已在韌體版本 2.4.1 中修復。

  • GPS 外洩:連接埠 9999 不再回應未經授權的 get_sysinfo 請求。Kasa app 現在使用透過 UDP 廣播的公開 RSA 金鑰進行身份驗證後的探索功能。
  • RSA 金鑰:已移除全機隊規模的憑證。裝置現在使用透過 NOC 憑證基礎設施配置的單一裝置專屬 EC 金鑰。
  • 憑證儲存:已透過 check_default_config 程序實施了靜態資料加密 (at-rest encryption)。
  • 安全更新:mbedTLS 已從版本 2.6.0 升級至 2.28.1。

披露與分級處理分析

自 2026 年 1 月 5 日開始的協調披露過程揭示了顯著的分級處理 (triage) 缺陷。研究人員指出,廠商的響應日期為 2026 年 5 月 29 日,其內容引用了在報告的酬載中並不存在的 MD5 哈希值欄位,這表明該發現已被忽略。此外,一個測試用的 beta 韌體版本 (v2.4.00) 導致測試裝置永久損壞 (bricked),需要透過硬體層級的 SPI reflashing 進行修復。

"在 TP-Link Kasa 攝影機上進行了六個月的協調披露,結果卻得到了兩個 CVE,一個廠商在分級處理時失敗,描述了一個在報告的酬載中不存在的漏洞,以及一個導致測試裝置永久損壞的 beta 修補程序,還有一個無法清除前任持有者數據的恢復出廠設定。" — Christopher Childress (BadChemical)

Sources