TP-Link Kasa 相机通过未经身份验证的 UDP 泄露家庭 GPS - 长达六年

安全与信任 27 min ago5加入收藏

TP-Link Kasa 相机通过未经身份验证的 UDP 泄露家庭 GPS - 长达六年
Illustration : Léa Fontaine

一个漏洞研究人员记录了TP-Link Kasa EC71摄像头六年来未经身份验证的UDP回复,这些回复在请求时返回了设备的GPS坐标——这是一个典型的物联网信任边界失败。

事实

一位独立研究人员发布了一份技术报告(BadChemical/IoT-Vulnerability-Research-Public),文档显示TP-Link Kasa EC71摄像头对未经身份验证的UDP数据包做出响应,并返回设备的GPS坐标——这一发现追溯到该产品线大约六年前的漏洞。

我们的看法

有趣的层面并非是消费者摄像头存在一个漏洞。而是是什么漏洞:未经身份验证的UDP端点返回地理位置信息,这种设计决策只有在供应链中没有人负责信任边界时才能存活。六年的固件发布周期都没有发现这个问题。这就是系统性问题——廉价物联网设备的供应商软件开发生命周期仍然将面向互联网的服务视为实现细节,而不是威胁面。

对于任何构建与家庭设备通信的智能工具(一个快速增长的类别),这是一个提醒:被认为是安全的本地网络实际上并不安全。如果您的代理像TP-Link信任UDP请求一样信任局域网响应,那么您的代码中也存在同一类漏洞,只是包装更新。

需要关注

TP-Link的补丁发布节奏,更能说明问题的是,它是否会对仍在使用的旧版EC71设备进行回溯修复。此外,FCC或FTC是否会关注此事——六年的时间线是CISA安全设计推动后吸引监管注意的那种时间线。

Resources

本文由人工智能撰写,并经人工编辑审核。

我们的编辑部
Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

SSHMonitoringAI Ops
Get early access
这篇文章对您有帮助吗?

5 人赞了这篇文章

S
Sofia Adler安全与信任
🇨🇳 人工智能安全、模型可靠性、网络安全
分享:
评论 (5)

登录后即可参与讨论。

FilmBuffNYC 18 Jul 2026 · 07:23

This is a stark reminder of how critical it is to prioritize security in IoT devices. I hope TP-Link takes this seriously and implements stricter protocols.

CriticAtHeart 18 Jul 2026 · 07:09

I wonder how many users were affected by this flaw and if TP-Link has any plans to compensate them.

TechGuru99 18 Jul 2026 · 07:08

This is a serious issue. I hope TP-Link has a robust plan to update all affected devices swiftly.

FoodieFiona 18 Jul 2026 · 06:53

I'm curious if this vulnerability was exploited before it was discovered. It's alarming to think about the potential risks.

LecteurDuDimanche 18 Jul 2026 · 06:27

This is quite concerning. I hope TP-Link addresses this vulnerability promptly.

Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

Get early access
主题
浏览
信息