对 TP-Link Kasa 摄像头的安全分析发现了多个严重漏洞,这些漏洞已存在长达六年,对用户的隐私和安全构成重大威胁。最严重的问题是,设备会通过一个未经身份验证的请求泄露用户的精确家庭 GPS 坐标。其他漏洞包括所有设备共享同一套硬编码加密密钥,以及用极易破解的方式存储用户密码。这些问题共同导致攻击者不仅能定位用户住址,还能接管其所有 TP-Link 智能家居设备。在经过长达六个月的协调披露后,厂商最终发布了修复固件。
核心漏洞:未经授权的 GPS 定位泄露
TP-Link Kasa 摄像头存在一个致命缺陷,允许任何在同一局域网内的人获取设备的精确 GPS 坐标。
- 攻击方式极其简单: 攻击者只需向设备发送一个特定的、未经身份验证的 UDP 数据包,设备就会返回包含详细信息的 JSON 响应。
- 暴露的敏感信息: 返回的数据中不仅有精确的经纬度坐标,还包括设备唯一的硬件 ID、MAC 地址以及用户为设备设置的名称。
- 永久的家庭地址记录: 这些 GPS 坐标是在用户初次设置账户时从手机获取并永久存储在设备固件中的。它们不会自动更新,相当于一个静态的家庭住址记录。
任何人只要连接到你家的 Wi-Fi,就可以通过一个简单的数据包,立即知道你家的确切位置。这个过程不需要密码,也无需任何复杂的黑客技术。
一个存在已久且被忽视的问题
这个漏洞并非新发现,其根本问题在 TP-Link 的产品线中已存在多年。
- 协议漏洞历史: 底层协议的不设防特性最早在 2016 年就被公开披露,当时的研究报告明确指出:“本地网络中的任何人都可以控制智能插座”。
- GPS 泄露历史: 在 2020 年,已有独立研究人员报告了另一款 Kasa 摄像头 (KC100) 存在完全相同的 GPS 坐标泄露问题。
- 选择性修复: TP-Link 曾在 2020 年修复了其智能插座产品线的类似漏洞,但并未将修复措施扩展到摄像头产品线,这表明公司缺乏全面的安全审查,而是采取了零散的、被动式的补救措施。
证书与密码管理不善
除了 GPS 泄露,固件还存在两个关键的加密和凭证管理漏洞,这些问题被统一归为一个 CVE 编号(CVE-2026-9770)。
- 全线产品共享硬编码密钥: 固件中内置了对所有设备都相同的 RSA 私钥。这意味着,如果攻击者从任何一台设备中提取出这个密钥,就等于拥有了破解整个产品线设备通信的钥匙。
- 不安全的密码存储: 用户的 TP-Link 账户密码以 “未加盐”的 MD5 哈希 形式存储。这是一种非常过时的加密方法,用现代技术可以被轻易破解。用户的邮箱地址则以明文形式存储在旁边。
由于 TP-Link ID 用于其所有产品(如 Kasa、Tapo、Deco),一旦密码被破解,攻击者可以接管用户账户下的所有设备,包括智能门锁、路由器和商业监控系统,造成跨产品线的全面安全崩溃。
二手设备带来的巨大风险
这些漏洞组合在一起,为二手设备市场带来了极其严重的风险。
在旧版固件上,即使用户执行了“恢复出厂设置”,敏感数据也不会被清除。购买二手 Kasa 摄像头的攻击者可以轻易地:
- 开机后连接到设备的临时 Wi-Fi,立即获取前主人的家庭 GPS 坐标。
- 通过简单的硬件工具读取设备闪存,获得前主人的 TP-Link 账户邮箱(明文)和密码哈希。
- 利用彩虹表或 GPU 快速破解密码。
- 使用获取的凭证和地址,完全接管前主人的账户并确定其物理位置。
这个攻击链条几乎不需要任何高深的技术知识,对前主人的隐私和财产安全构成直接威胁。
修复与披露过程
经过与安全研究人员长达六个月的沟通,TP-Link 最终发布了 2.4.1 版本固件来解决这些问题。
- GPS 泄露已修复: 新固件移除了
get_sysinfo响应中的 GPS 坐标,并且不再响应未经身份验证的请求。 - 凭证存储已加强: 密码存储采用了静态加密。
- 密钥管理已更新: 废除了全线共享的 RSA 密钥,改为为每台设备单独配置密钥。
然而,披露过程并非一帆风顺。厂商最初对漏洞严重性的判断存在失误,提供的测试固件甚至一度导致研究人员的设备永久“变砖”,无法通过软件恢复。