TP-Link Kasa カメラが認証不要の UDP を通じて 6 年間にわたり家庭内の位置情報を漏洩していた問題

2026/07/18 6:42

TP-Link Kasa カメラが認証不要の UDP を通じて 6 年間にわたり家庭内の位置情報を漏洩していた問題

RSS: https://news.ycombinator.com/rss

要約

日本語訳:

TP-Link の Kasa Spot EC71 ルーター(ファームウェアバージョン 2.3.26)には、認証なしで利用可能な複数の重大な脆弱性が含まれています。最も深刻な問題としては、SquashFS レヤーに格納されているハードコーディングされた RSA 秘密鍵(1024 ビットのレガシーキーと、現在有効な 2048 ビットのキー)および不十分なクレデンシャル保存があり、ユーザーのクラウドアカウントパスワードは jffs2 オーバーレイで平文の TP-Link ID メールアドレスとともに塩付き MD5 ハッシュとして保存されています。これらの欠陥により、攻撃者は単一のデバイスから秘密鍵を抽出し、認証情報を解読することで、Tapo ロッカー、Deco ルーター、VIGI カメラなどの TP-Link プロダクト全体に対するクロスドメインのアカウント乗っ取りを実行できます。さらに、9999 ポート上の未認証 UDP エンドポイントは

get_sysinfo
コマンドを通じて正確な GPS 座標と完全なハードウェア識別子を暴露しており、これは弱い XOR 暗号のみで保護されています。特に悪意深い攻撃ベクトルは、再販売または返却されたデバイスに存在します。工場出荷時のリセット後であっても、永続的な jffs2 ストレージからユーザーの認証情報や GPS データが回収され、バインディングモードでのソフト AP を介してブロードキャストされる可能性があります。TP-Link はfleet 全体での RSA キーを削除し、ストレージ上のクレデンシャル保存を暗号化し、未認証の GPS エンドポイントをブロックするパッチ済みファームウェア 2.4.1 をリリースしましたが、2026 年 6 月 11 日から 15 日の間には一部のテストデバイスがソフトウェアによる回復パスなしで永久的に「ブランク」になり、物理的な SPI リフレashing の必要があるという一時的な介入ベータ版(2.4.00)が存在しました。これらの主要な問題以外にも、追加の発見事項としては、弱いクラウドトークン導出、認証バイパスロジックの欠陥、レガシーサービスポート、内部ステージングインフラストラクチャへの露出が含まれていました。この事件は、ベンダーのセキュリティプロセスにおける広範な失敗を示しており、影響を受けるすべてのモデル(EC70 v4 および EC71 v4 を含む)に対する緊急のファームウェアアップデートと、将来的な侵害を防ぐために秘密鍵と認証情報を管理する方法を根本的に再設計する必要性を浮き彫りにしています。

本文

TP-Link Kasa Spot EC71 セキュリティ通告:重大な脆弱性と是正情報(CVE-2026-9770 / CVE-2026-13230)

著者: クリストファー・チャイルドレッズ (BadChemical)
ステータス: パッチ済み。2.4.1 ファームウェアにて是正済み。
ベンダー: TP-Link Systems Inc. / Kasa
製品: Kasa Spot EC71
対象ファームウェア: 2.3.26(脆弱性あり) → 2.4.1(パッチ済み)
公開日: 2026 年 7 月 16 日


法的免責事項

  • このリポジトリには、TP-Link Kasa Spot EC71 室内カメラのセキュリティホールに対する**概念実証(PoC)**が含まれます。
  • 情報は教育目的および防御的調査のためだけに公開されています。
  • 2026 年 1 月 5 日にベンダーへ連絡がなされました。
  • すべての主要な発見事項は、v2.4.1 で是正されています。
  • 悪用の防止のために、すべてのデバイス固有の識別子、認証情報のハッシュ値、およびグローバル秘密鍵は**大幅に脱敏処理(マスキリング)**がなされています。

概要

脆弱性の発見経路

  • ファームウェア抽出: CH341A プログラマーを使用して SPI フラッシュチップから直接読み取り。
  • 分析手法: アクティブなネットワークパケット分析及びハードウェア分析を併用。
  • 主要な脆弱性:
    1. 暗号化の失敗(フルートワイドな RSA キー)。
    2. 認証情報の不安全な保存(ソルトなし MD5)。
    3. 認証不要での精密な位置データ公開(GPS)。

背景と文脈

  • GPS 公開の歴史: 2020 年 8 月以来公衆に知られていました。
    • TP-Link は 2020 年 11 月にスマートプラグで是正しましたが、カメラ製品ラインへの拡張を怠りました。
  • 二次市場リスク: 中古・転売品のデバイスから、以前所有者の認証情報および GPS 座標を回復することが可能です。
    • ファームウェア 2.3.26 は
      factory reset
      (工場出荷状態戻し)後でもデータをクリアせず脆弱性が残り続けます。

協調的開示タイムライン

日付出来事概要
2026/1/5ベンダーへ初回セキュリティ通告送信。
2026/1/14ベンダーがレポート承認、脆弱な v2.3.26 の明確化。
2026/1/27Finding 1 (RSA), 2 (認証情報) を確認。他はスコープ外/リスクと判断。
2026/3/23GPS 関連のクロスシステム設計延期を要請(許可)。追加 PoC 提出。
2026/6/10CVE-2026-9770 のファームウェアロールバック公表(不安定のため)。
2026/6/15ベータ 2.4.00 OTA がテストデバイスを恒久的に不応答に。ハードウェア交換が必要
2026/6/24是正済みベータ 2.4.1 の置換デバイスへのステージング開始。
2026/7/14CVE-2026-9770 および CVE-2026-13230 の公式公開。

CVE-2026-9770: 鍵と認証情報の漏洩

CVSS 4.0: 8.6(ベンダー割当)
CWE: CWE-321, CWE-327, CWE-916
ステータス: v2.4.1 でパッチ済み

Finding 1: ハードコーディングされた RSA 秘密鍵

  • 概要: ファームウェアには 2 つの SquashFS レイヤーに、フルートワイドな RSA キー/証明書ペアが含まれています。
    • 主要 SquashFS: 伝承の 1024 ビットキー(SHA1 署名)。実行時に配信されません。
    • 二次 SquashFS (
      squashfs-root-0
      ):
      2048 ビット RSA キー(SHA256 署名)がアクティブに使用されています。
  • リスク: SPI フラッシュから抽出可能な鍵は、すべてのデバイスで同一です。この鍵を所有することで展開された全デバイスの暗号化材料を掌握可能。
  • 影響: ARP スプーフィングによる傍受やローカル通信の TLS 破損リスクが存在する可能性がありますが、ベンダーはこれを「ローカル通信 TLS 証明書に関する問題」として位置付けました。

Finding 2: ユーザーパスワードの不安全な保存とクロスドメイン侵害

  • 概要: ユーザーの認証情報は
    config/account
    ソルトなし MD5 ハッシュとして保存されています。
    • ファクトリ設定ではプレースホルダー(admin/admin)が使用され、起動時に jffs2 オーバーレイで上書きされます。
  • クロスドメイン影響:
    • TP-Link ID は単一の認証サービスであり、コミュニティ・Omada Cloud・Deco・Tapo などの全製品で共通しています。
    • ソルトなし MD5は現代のレインボーテーブルや GPU ブルートフォースで容易にクラック可能です。
    • クラックされた情報を用いて、Tapo スマートロック(物理アクセス制御バイパス)Deco メッシュネットワークなどの高影響デバイスに不正アクセス可能になります。

CVE-2026-13230: 認証不要の GPS 公開

CVSS 4.0: 5.3(ベンダー割当) / 7.1(研究者評価)
CWE: CWE-359
ステータス: v2.4.1 でパッチ済み

Finding 3: 認証不要での精密 GPS 公開

  • 概要: ポート 9999 への単一 UDP パケット
    {"system":{"get_sysinfo":{}}}
    に対し、以下の情報を返します。
    • 精密な GPS 座標(経度・緯度)。
    • ハードウェアフィンガープリント (
      oemId
      ,
      hwId
      ,
      deviceId
      ,
      mac
      など)。
    • デバイス名およびファームウェアバージョン。
  • 保護レベル: Wireshark でネイティブデコードできる簡易な XOR シフターのみで保護されています(実質的に公開)。
  • GPS 座標の性質:
    • ユーザーの家屋位置に関する静的記録として保存され、回転しません。
    • カメラのジオフェンシング機能の有無にかかわらず、収集され保存されます。

プライバシーおよびポリシーとの不一致 (CCPA)

  • TP-Link の方針: 「ジオフェンシングスマートアクションを有効にすると」のみ精密な位置情報を収集すると明記しています(オプトイン)。
  • 実際の動作: アカウント作成時、オプトアウトされたユーザーに対しても座標が収集・保存・公開されています。
  • リスク: 不動産データベースと照合することで、特定の住宅住所を特定可能です。

セカンダリ市場攻撃経路(中古デバイスの場合)

  1. 中古購入後: デバイスを起動すると「ソフト AP バインドモード」へ移行します。
  2. GPS 取得: この状態でもポート 9999 は認証不要で動作し、以前所有者の GPS 座標を取得可能です。
  3. SPI 抽出:
    config/account
    から平文メールアドレスと MD5 ハッシュを回収。
  4. 認証取得: ハッシュをクラックして TP-Link ID を再獲得。
    • 結果: 侵害されたアカウントの物理住所と連携し、完全なスマートホームインフラストラクチャ(ドアロック、照明、監視カメラなど)にアクセスできます。
    • 必要条件: 以前所有者への接触やネットワーク接続は不要です。

ベータファームウェア検証結果

⚠️ バグ: ベータ 2.4.00(2026 年 6 月 15 日)

  • OTA デリバリーがテストデバイスを恒久的に不応答にし、工場出荷状態復元は機能しませんでした。
  • 回復: CH341A SPI リフラッシュによるハードウェアレベルの是正が必要でした。
  • 理由: 広範な新しい WiFi チセットコードとのバンドリングミス、および証明書構成の不整合により発生しました。

✅ 是正: ベータ 2.4.1(2026 年 6 月 25 日)

以下の項目が完全に是正され、正式に公開されました。

  • フルートワイド RSA の除去:
    uhttpd.key
    および
    uhttpd.crt
    をファームウェアから完全削除。デバイス固有の EC キーに変更。
  • MD5 認証情報の保護:
    check_default_config
    エンクリプションロールアウトにより、AES で暗号化された状態での保存に切り替え。
  • GPS 公開の閉鎖:
    get_sysinfo
    レスポンスから GPS 座標を除去し、無認証レスポンスを返さなくなりました。

トリアージ不備

ベンダーは 2026 年 5 月 29 日の応答において、「MD5 ハッシュフィールド」の存在を根拠に Finding 2 のリスクを低く評価しようとしましたが、これは事実と異なる誤認識でした。

get_sysinfo
レスポンスには MD5 フィールドは存在せず、トリアージは不適切に行われていました。


影響モデルとスコープ

  • 確認済み製品: EC70 v4, EC71 v4(および同様のファームウェアベースを持つモデル)。
  • 潜在的なスコープ拡大: KC100, KC110, KC115, KC410S, KC411S などの旧世代デバイスや Pan/Tilt シリーズも同様のアークテクチャを共有している可能性が高いです。
  • 影響の連鎖: Finding 1(鍵)と Finding 2(認証情報)は独立していますが、相互に悪用しあうことで全ユーザー・全デバイスを侵害可能になります。

リンク

同じ日のほかのニュース

一覧に戻る →

2026/07/18 7:26

カイザー看護師が語る、AI や職場監視が看護業務とケアの質を悪化させていることへの懸念

## Japanese Translation: カイザーパーマネンテの看護師たちは、AI 駆動による職場の監視が患者の安全を危険にさらすと非難し、通話時間の短縮や同情に基づいたケアの抑制を強いるとしている。カイザーはこれらのツールをウェルビーイングの促進に資すると擁護するが、批評家たちは過度な監視が士気を損ない誤りのリスクを高めるとの見解を示している。調査により、現在のおよび元看護師 7 名が、通話が 15 分を超えた場合に批判を受けたりパフォーマンス評価が下されるなどしたと報告されたことが明らかになっている。ソフトウェアはトーン分析、非生産性の予測、共感度の評価、および月次スコアへの通話指標の統合を実行する。特筆すべきは、これらの短時間に関連する患者からの苦情は一切記録されていないことである。この controvers は抗議運動を刺激し、3 月に 1 日間のストライキや昨年の秋のパイケティングを引き起こした。これはカリフォルニア看護師協会による新契約(コールセンターの看護師を含む約 2.5 万人のスタッフに適用)の交渉と一致しており、その中で AI が中心的役割を果たすと予想されている。カイザーは、すべてのコンタクトセンターツールには人間の審査と監督が含まれているとし、セキュリティ上の理由から詳細は非公開としている。2024 年の公記録請求により、通話時間に関連する患者からの苦情は一切見つかっていないが、看護師たちは安全上のリスクが依然として現実であると主張している。批評家たちは、厳格な時間制限の実施がバーンアウトや士気の低下、高リスク環境におけるエラーを招く可能性を警告している。カリフォルニア州では、AI を規制し、自動化された推奨事項を上回る従業員に対する報復を防ぎ、感情的状態の AI 予測を禁止する法案(元々 SB 7 の後継である上院法案 947)などの検討が行われている。ゴブナーニュースームは以前に同様の措置(SB 7)を拒否した。カイザーパーマネンテは現在、カリフォルニア州で最大の民間雇用主であり、カリフォルニア人 900 万人以上とその他の地域に住む 300 万人以上の人のサービスを提供している。

2026/07/17 18:42

AWS:誤った見込見積もりデータの件、被害額 17 億ドル

## Japanese Translation: 7 月 16 日 Pacific Daylight Time 午後 7 時 38 分、AWS は重大なソフトウェアの誤作動により、請求見積もりが数十億ドル〜数兆ドルという異常値を表示し始めました。この問題の原因は、価格計算が「バイト」単位ではなく「ギガバイト」単位で行われていた単位の不一致によるものです。この影響を受けたアカウントには、支出ゼロのアカウントも含め、推計課金額として 4 億 3000 万ドルが表示された例もあります。当初これらの警告はフィッシング攻撃に見えましたが、AWS はそれが本物の表示誤りであることを確認しており、実際の顧客請求に変更はなく、即時対応が必要な事態でもないとしています。この問題は請求計算サブシステムの更新失敗後に発覚し、単純なロールバックでは不十分で、適切な単位価格を用いて履歴の計量データを再計算する必要があったためです。エンジニアたちは内部計算エラーを修正するため、数時間以内に完全に解決できると予想しています。過去の重大な AWS 障害(2011 年の「フィールド内のコンマ」バグなど)に類似したこの出来事は、より厳格なエンドツーエンドの統合テスト(実際のお金での課金検証や XTS などのテスト通貨を使用するテストを含む)の実施、ならびに将来のバグや誤設定による爆発的なコスト増を防ぐための堅牢な支出上限の設定への要請を再び喚起しています。

2026/07/18 1:57

HN を感謝し、人生の職に導いてくれた 15 年間のお陰様です。

## Japanese Translation: Recurse Center は明日、設立から 15 周年を迎えます。これは YC Summer 2010 の発案「OkCupid for jobs」から誕生したもので、当初は失敗しましたが、組織はその後、他の不十分なコンセプトを数年間検討した後、自己主導型のプログラミングリトリートとして開始されました。2 つの小規模なバッチを実施した後、Hacker News に掲載され、素晴らしい反応を受けました。口コミとともに HN は応募者の 2 つ目の最大sources(第二の主要な申請者獲得源)となり、個人ネットワークを越えて世界中のプログラマーと親交を持つことが可能になり、彼らは互いに親友となりました。現在までに、これらの無料のリトリートは 3,000 人以上の方々にポジティブな影響を与えています。数十億円規模のビジネスではありませんが、創設者たちは、このような福祉志向の組織を運営することは非常に報われることであると考えており、ポール・グラハム氏の「価値は直接的な利益を必要としない」という観察例を挙げています。このモデルは、サービスの提供を通じて全球的な友情とオープンソース協力を育むことが、スケールよりもコミュニティの成長を優先する起業家にとって依然として持続可能で鼓舞的な道であることを証明しています。

TP-Link Kasa カメラが認証不要の UDP を通じて 6 年間にわたり家庭内の位置情報を漏洩していた問題 | そっか~ニュース