
2026/07/18 6:42
TP-Link Kasa カメラが認証不要の UDP を通じて 6 年間にわたり家庭内の位置情報を漏洩していた問題
RSS: https://news.ycombinator.com/rss
要約▶
日本語訳:
TP-Link の Kasa Spot EC71 ルーター(ファームウェアバージョン 2.3.26)には、認証なしで利用可能な複数の重大な脆弱性が含まれています。最も深刻な問題としては、SquashFS レヤーに格納されているハードコーディングされた RSA 秘密鍵(1024 ビットのレガシーキーと、現在有効な 2048 ビットのキー)および不十分なクレデンシャル保存があり、ユーザーのクラウドアカウントパスワードは jffs2 オーバーレイで平文の TP-Link ID メールアドレスとともに塩付き MD5 ハッシュとして保存されています。これらの欠陥により、攻撃者は単一のデバイスから秘密鍵を抽出し、認証情報を解読することで、Tapo ロッカー、Deco ルーター、VIGI カメラなどの TP-Link プロダクト全体に対するクロスドメインのアカウント乗っ取りを実行できます。さらに、9999 ポート上の未認証 UDP エンドポイントは
get_sysinfo コマンドを通じて正確な GPS 座標と完全なハードウェア識別子を暴露しており、これは弱い XOR 暗号のみで保護されています。特に悪意深い攻撃ベクトルは、再販売または返却されたデバイスに存在します。工場出荷時のリセット後であっても、永続的な jffs2 ストレージからユーザーの認証情報や GPS データが回収され、バインディングモードでのソフト AP を介してブロードキャストされる可能性があります。TP-Link はfleet 全体での RSA キーを削除し、ストレージ上のクレデンシャル保存を暗号化し、未認証の GPS エンドポイントをブロックするパッチ済みファームウェア 2.4.1 をリリースしましたが、2026 年 6 月 11 日から 15 日の間には一部のテストデバイスがソフトウェアによる回復パスなしで永久的に「ブランク」になり、物理的な SPI リフレashing の必要があるという一時的な介入ベータ版(2.4.00)が存在しました。これらの主要な問題以外にも、追加の発見事項としては、弱いクラウドトークン導出、認証バイパスロジックの欠陥、レガシーサービスポート、内部ステージングインフラストラクチャへの露出が含まれていました。この事件は、ベンダーのセキュリティプロセスにおける広範な失敗を示しており、影響を受けるすべてのモデル(EC70 v4 および EC71 v4 を含む)に対する緊急のファームウェアアップデートと、将来的な侵害を防ぐために秘密鍵と認証情報を管理する方法を根本的に再設計する必要性を浮き彫りにしています。本文
TP-Link Kasa Spot EC71 セキュリティ通告:重大な脆弱性と是正情報(CVE-2026-9770 / CVE-2026-13230)
著者: クリストファー・チャイルドレッズ (BadChemical)
ステータス: パッチ済み。2.4.1 ファームウェアにて是正済み。
ベンダー: TP-Link Systems Inc. / Kasa
製品: Kasa Spot EC71
対象ファームウェア: 2.3.26(脆弱性あり) → 2.4.1(パッチ済み)
公開日: 2026 年 7 月 16 日
法的免責事項
- このリポジトリには、TP-Link Kasa Spot EC71 室内カメラのセキュリティホールに対する**概念実証(PoC)**が含まれます。
- 情報は教育目的および防御的調査のためだけに公開されています。
- 2026 年 1 月 5 日にベンダーへ連絡がなされました。
- すべての主要な発見事項は、v2.4.1 で是正されています。
- 悪用の防止のために、すべてのデバイス固有の識別子、認証情報のハッシュ値、およびグローバル秘密鍵は**大幅に脱敏処理(マスキリング)**がなされています。
概要
脆弱性の発見経路
- ファームウェア抽出: CH341A プログラマーを使用して SPI フラッシュチップから直接読み取り。
- 分析手法: アクティブなネットワークパケット分析及びハードウェア分析を併用。
- 主要な脆弱性:
- 暗号化の失敗(フルートワイドな RSA キー)。
- 認証情報の不安全な保存(ソルトなし MD5)。
- 認証不要での精密な位置データ公開(GPS)。
背景と文脈
- GPS 公開の歴史: 2020 年 8 月以来公衆に知られていました。
- TP-Link は 2020 年 11 月にスマートプラグで是正しましたが、カメラ製品ラインへの拡張を怠りました。
- 二次市場リスク: 中古・転売品のデバイスから、以前所有者の認証情報および GPS 座標を回復することが可能です。
- ファームウェア 2.3.26 は
(工場出荷状態戻し)後でもデータをクリアせず脆弱性が残り続けます。factory reset
- ファームウェア 2.3.26 は
協調的開示タイムライン
| 日付 | 出来事概要 |
|---|---|
| 2026/1/5 | ベンダーへ初回セキュリティ通告送信。 |
| 2026/1/14 | ベンダーがレポート承認、脆弱な v2.3.26 の明確化。 |
| 2026/1/27 | Finding 1 (RSA), 2 (認証情報) を確認。他はスコープ外/リスクと判断。 |
| 2026/3/23 | GPS 関連のクロスシステム設計延期を要請(許可)。追加 PoC 提出。 |
| 2026/6/10 | CVE-2026-9770 のファームウェアロールバック公表(不安定のため)。 |
| 2026/6/15 | ベータ 2.4.00 OTA がテストデバイスを恒久的に不応答に。ハードウェア交換が必要。 |
| 2026/6/24 | 是正済みベータ 2.4.1 の置換デバイスへのステージング開始。 |
| 2026/7/14 | CVE-2026-9770 および CVE-2026-13230 の公式公開。 |
CVE-2026-9770: 鍵と認証情報の漏洩
CVSS 4.0: 8.6(ベンダー割当)
CWE: CWE-321, CWE-327, CWE-916
ステータス: v2.4.1 でパッチ済み
Finding 1: ハードコーディングされた RSA 秘密鍵
- 概要: ファームウェアには 2 つの SquashFS レイヤーに、フルートワイドな RSA キー/証明書ペアが含まれています。
- 主要 SquashFS: 伝承の 1024 ビットキー(SHA1 署名)。実行時に配信されません。
- 二次 SquashFS (
): 2048 ビット RSA キー(SHA256 署名)がアクティブに使用されています。squashfs-root-0
- リスク: SPI フラッシュから抽出可能な鍵は、すべてのデバイスで同一です。この鍵を所有することで展開された全デバイスの暗号化材料を掌握可能。
- 影響: ARP スプーフィングによる傍受やローカル通信の TLS 破損リスクが存在する可能性がありますが、ベンダーはこれを「ローカル通信 TLS 証明書に関する問題」として位置付けました。
Finding 2: ユーザーパスワードの不安全な保存とクロスドメイン侵害
- 概要: ユーザーの認証情報は
でソルトなし MD5 ハッシュとして保存されています。config/account- ファクトリ設定ではプレースホルダー(admin/admin)が使用され、起動時に jffs2 オーバーレイで上書きされます。
- クロスドメイン影響:
- TP-Link ID は単一の認証サービスであり、コミュニティ・Omada Cloud・Deco・Tapo などの全製品で共通しています。
- ソルトなし MD5は現代のレインボーテーブルや GPU ブルートフォースで容易にクラック可能です。
- クラックされた情報を用いて、Tapo スマートロック(物理アクセス制御バイパス)やDeco メッシュネットワークなどの高影響デバイスに不正アクセス可能になります。
CVE-2026-13230: 認証不要の GPS 公開
CVSS 4.0: 5.3(ベンダー割当) / 7.1(研究者評価)
CWE: CWE-359
ステータス: v2.4.1 でパッチ済み
Finding 3: 認証不要での精密 GPS 公開
- 概要: ポート 9999 への単一 UDP パケット
に対し、以下の情報を返します。{"system":{"get_sysinfo":{}}}- 精密な GPS 座標(経度・緯度)。
- ハードウェアフィンガープリント (
,oemId
,hwId
,deviceId
など)。mac - デバイス名およびファームウェアバージョン。
- 保護レベル: Wireshark でネイティブデコードできる簡易な XOR シフターのみで保護されています(実質的に公開)。
- GPS 座標の性質:
- ユーザーの家屋位置に関する静的記録として保存され、回転しません。
- カメラのジオフェンシング機能の有無にかかわらず、収集され保存されます。
プライバシーおよびポリシーとの不一致 (CCPA)
- TP-Link の方針: 「ジオフェンシングスマートアクションを有効にすると」のみ精密な位置情報を収集すると明記しています(オプトイン)。
- 実際の動作: アカウント作成時、オプトアウトされたユーザーに対しても座標が収集・保存・公開されています。
- リスク: 不動産データベースと照合することで、特定の住宅住所を特定可能です。
セカンダリ市場攻撃経路(中古デバイスの場合)
- 中古購入後: デバイスを起動すると「ソフト AP バインドモード」へ移行します。
- GPS 取得: この状態でもポート 9999 は認証不要で動作し、以前所有者の GPS 座標を取得可能です。
- SPI 抽出:
から平文メールアドレスと MD5 ハッシュを回収。config/account - 認証取得: ハッシュをクラックして TP-Link ID を再獲得。
- 結果: 侵害されたアカウントの物理住所と連携し、完全なスマートホームインフラストラクチャ(ドアロック、照明、監視カメラなど)にアクセスできます。
- 必要条件: 以前所有者への接触やネットワーク接続は不要です。
ベータファームウェア検証結果
⚠️ バグ: ベータ 2.4.00(2026 年 6 月 15 日)
- OTA デリバリーがテストデバイスを恒久的に不応答にし、工場出荷状態復元は機能しませんでした。
- 回復: CH341A SPI リフラッシュによるハードウェアレベルの是正が必要でした。
- 理由: 広範な新しい WiFi チセットコードとのバンドリングミス、および証明書構成の不整合により発生しました。
✅ 是正: ベータ 2.4.1(2026 年 6 月 25 日)
以下の項目が完全に是正され、正式に公開されました。
- フルートワイド RSA の除去:
およびuhttpd.key
をファームウェアから完全削除。デバイス固有の EC キーに変更。uhttpd.crt - MD5 認証情報の保護:
エンクリプションロールアウトにより、AES で暗号化された状態での保存に切り替え。check_default_config - GPS 公開の閉鎖:
レスポンスから GPS 座標を除去し、無認証レスポンスを返さなくなりました。get_sysinfo
トリアージ不備
ベンダーは 2026 年 5 月 29 日の応答において、「MD5 ハッシュフィールド」の存在を根拠に Finding 2 のリスクを低く評価しようとしましたが、これは事実と異なる誤認識でした。
get_sysinfo レスポンスには MD5 フィールドは存在せず、トリアージは不適切に行われていました。
影響モデルとスコープ
- 確認済み製品: EC70 v4, EC71 v4(および同様のファームウェアベースを持つモデル)。
- 潜在的なスコープ拡大: KC100, KC110, KC115, KC410S, KC411S などの旧世代デバイスや Pan/Tilt シリーズも同様のアークテクチャを共有している可能性が高いです。
- 影響の連鎖: Finding 1(鍵)と Finding 2(認証情報)は独立していますが、相互に悪用しあうことで全ユーザー・全デバイスを侵害可能になります。