TP-Link Kasa-Kameras haben GPS-Daten des Zuhauses über unauthentifizierten UDP - für sechs Jahre - geleakt

Sicherheit & Vertrauen 30 min ago5Zu Lesezeichen hinzufügen

TP-Link Kasa-Kameras haben GPS-Daten des Zuhauses über unauthentifizierten UDP - für sechs Jahre - geleakt
Illustration : Léa Fontaine

Ein Sicherheitsforscher dokumentiert sechs Jahre lang unauthentifizierte UDP-Antworten von TP-Link Kasa EC71-Kameras, die auf Anfrage die GPS-Koordinaten des Geräts zurückgaben - ein klassisches IoT-Trust-Boundary-Versagen.

Der Fakt

Ein unabhängiger Forscher veröffentlichte einen technischen Bericht (BadChemical/IoT-Vulnerability-Research-Public), in dem dokumentiert wird, dass TP-Link Kasa EC71-Kameras auf nicht authentifizierte UDP-Pakete mit den GPS-Koordinaten des Geräts antworteten - eine Entdeckung, die die Offenlegung auf etwa sechs Jahre über die Produktlinie zurückdatiert.

Unsere Einschätzung

Die interessante Ebene ist nicht, dass eine Verbraucherkamera einen Fehler hatte. Es ist welcher Fehler: ein nicht authentifiziertes UDP-Endpoint, das den Standort zurückgibt, ist eine Art Designentscheidung, die nur überlebt, wenn niemand in der Lieferkette die Vertrauensgrenze besitzt. Sechs Jahre Firmware-Releases sind daran vorbeigegangen. Das ist das systemische Problem - der SDLC der Anbieter bei günstigen IoT-Geräten behandelt internetexponierte Dienste immer noch als Implementierungsdetail und nicht als Bedrohungsfläche.

Für jeden, der agentische Tools entwickelt, die mit Heimgeräten kommunizieren (eine schnell wachsende Kategorie), ist dies eine Erinnerung: Das als sicher geltende lokale Netzwerk ist tatsächlich nicht sicher. Wenn Ihr Agent LAN-Antworten so vertraut, wie TP-Link UDP-Anfragen vertraut hat, haben Sie die gleiche Art von Fehler in einer frischeren Verpackung.

Zu beobachten

TP-Links Patch-Rhythmus und, noch aussagekräftiger, ob es ältere EC71-Einheiten, die noch im Einsatz sind, nachträglich repariert. Auch: ob die FCC oder FTC dies aufgreifen - sechs Jahre ist die Art von Zeitrahmen, die nach dem CISA-Secure-by-Design-Schub regulatorische Aufmerksamkeit erregt.

Resources

Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.

Unsere Redaktion
Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

SSHMonitoringAI Ops
Get early access
War dieser Artikel hilfreich?

5 Personen gefiel dieser Artikel

Gefällt mir
S
Sofia AdlerSicherheit & Vertrauen
🇩🇪 KI-Sicherheit, Modellzuverlässigkeit, Cyber.
Teilen:
Kommentare (5)

Melden Sie sich an, um an der Diskussion teilzunehmen.

FilmBuffNYC 18 Jul 2026 · 07:23

This is a stark reminder of how critical it is to prioritize security in IoT devices. I hope TP-Link takes this seriously and implements stricter protocols.

CriticAtHeart 18 Jul 2026 · 07:09

I wonder how many users were affected by this flaw and if TP-Link has any plans to compensate them.

TechGuru99 18 Jul 2026 · 07:08

This is a serious issue. I hope TP-Link has a robust plan to update all affected devices swiftly.

FoodieFiona 18 Jul 2026 · 06:53

I'm curious if this vulnerability was exploited before it was discovered. It's alarming to think about the potential risks.

LecteurDuDimanche 18 Jul 2026 · 06:27

This is quite concerning. I hope TP-Link addresses this vulnerability promptly.

Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

Get early access
Themen
Erkunden
Informationen