TP-Link Kasa EC71 : fuite GPS via UDP non authentifié pendant 6 ans

Original : TP-Link Kasa cameras leaked home GPS via unauthenticated UDP for 6 years

Pourquoi c'est important

Souligne les risques persistants de sécurité dans les appareils IoT grand public exposant des données de localisation.

Des caméras TP-Link Kasa Spot EC71 exposaient les coordonnées GPS des domiciles via UDP sans authentification pendant 6 ans. Deux CVE (CVE-2026-9770 et CVE-2026-13230) ont été attribués et corrigés dans le firmware 2.4.1, publié le 16 juillet 2026.

Le chercheur en sécurité Christopher Childress (alias BadChemical) a publié un avis de sécurité concernant la caméra d'intérieur TP-Link Kasa Spot EC71. Les vulnérabilités, présentes dans le firmware 2.3.26 (build 20240425), permettaient à un attaquant non authentifié d'accéder aux coordonnées GPS du domicile de l'utilisateur ainsi qu'à des informations RSA/IAM, via le protocole UDP, sans aucune authentification préalable. Ces failles seraient restées inexploitées mais exposées pendant environ 6 ans. Deux CVE ont été assignés : CVE-2026-9770 pour la fuite RSA/IAM et CVE-2026-13230 pour la fuite des données GPS. TP-Link Systems Inc. a été contacté selon une procédure de divulgation coordonnée, et les correctifs ont été intégrés dans la version 2.4.1 du firmware. La publication du rapport, accompagnée d'une preuve de concept, intervient après confirmation du patch par le vendeur.

Source

github.com — Lire l'original →