Een ontwikkelaar van Google heeft een ongepatcht beveiligingslek in de SR20 "smart home" router van fabrikant TP-Link onthuld omdat de fabrikant niet binnen 90 dagen met een patch kwam. Matthew Garrett is security-developer bij Google, maar heeft details over de kwetsbaarheid op eigen titel gepubliceerd.
De SR20 is een Zigbee/Z-Wave hub en router, met een touchscreen voor configuratie en bediening. De router moet de rol van Internet of Things-hub vervullen, waarbij het allerlei smart home-oplossingen verbindt. Garrett gebruikte Ghidra, de gratis reverse engineering tool van de NSA, om het TP-Link device debugprotocol te analyseren. Dit debugprotocol draait op de meeste TP-Link-apparaten.
Versie 2 van het protocol werkt alleen met het beheerderswachtwoord van de router. Versie 1 van het protocol vereist echter geen authenticatie. In het geval van de SR20 blijken bepaalde commando's van versie 1 nog steeds toegankelijk te zijn. Een aanvaller op het lokale netwerk kan hier gebruik van maken om op de router code met rootrechten uit te voeren.
Garrett waarschuwde TP-Link in december via een speciaal webformulier. Na de bugmelding te hebben verzonden verscheen er een melding dat er binnen drie werkdagen contact op zou worden genomen. Enkele weken later had de Google-ontwikkelaar nog steeds geen reactie gekregen, waarop hij een tweet naar TP-Link verstuurde, maar ook deze vraag bleef onbeantwoord. Daarop heeft Garrett nu de details van de kwetsbaarheid openbaar gemaakt. De ontwikkelaar adviseert TP-Link om het "security feedback" formulier te lezen en geen debugprotocollen in productiefirmware te draaien.
Deze posting is gelocked. Reageren is niet meer mogelijk.