TP-Link Kasaカメラが6年間GPS位置情報を漏洩
मूल शीर्षक: TP-Link Kasa cameras leaked home GPS via unauthenticated UDP for 6 years
यह क्यों महत्वपूर्ण है
IoT कैमरों में GPS लीक जैसी खामियाँ घरेलू सुरक्षा और निजता के लिए गंभीर खतरा हैं, इसलिए तुरंत Firmware अपडेट आवश्यक है।
TP-Link का Kasa Spot EC71 इनडोर कैमरा 6 वर्षों तक बिना प्रमाणीकरण के UDP के ज़रिए घर की GPS जानकारी लीक करता रहा। शोधकर्ता Christopher Childress ने यह खामी उजागर की। CVE-2026-9770 और CVE-2026-13230 को Firmware 2.4.1 में ठीक किया गया।
सुरक्षा शोधकर्ता Christopher Childress (उपनाम: BadChemical) ने TP-Link के Kasa Spot EC71 इनडोर कैमरे में दो गंभीर सुरक्षा खामियाँ सार्वजनिक की हैं। यह खामियाँ Firmware संस्करण 2.3.26 (Build Date: 20240425) में मौजूद थीं और लगभग 6 वर्षों तक सक्रिय रहीं।
पहली खामी CVE-2026-13230 के तहत दर्ज है, जिसमें डिवाइस बिना किसी प्रमाणीकरण (Unauthenticated) के UDP प्रोटोकॉल के ज़रिए उस घर की GPS स्थान-जानकारी (Latitude/Longitude) बाहर भेज देता था जहाँ कैमरा स्थापित था। दूसरी खामी CVE-2026-9770 RSA/IAM से संबंधित है।
TP-Link Systems Inc. को Coordinated Disclosure प्रक्रिया के तहत सूचित किया गया और कंपनी ने Firmware 2.4.1 जारी कर दोनों खामियों को 16 जुलाई 2026 को दूर कर दिया। यह शोध GitHub पर सार्वजनिक किया गया है और इसमें Proof of Concept (PoC) कोड भी शामिल है, जो केवल शैक्षणिक और रक्षात्मक उद्देश्यों के लिए प्रकाशित किया गया है।
उपयोगकर्ताओं को तुरंत Firmware 2.4.1 में अपडेट करने की सलाह दी जाती है।