TP-Link Kasa カメラ、6年間GPS位置情報を漏洩

Judul asli: TP-Link Kasa cameras leaked home GPS via unauthenticated UDP for 6 years

Mengapa Ini Penting

IoTカメラの長期未検出脆弱性が自宅の物理的位置情報漏洩リスクを示す事例として重要。

TP-Link Kasa Spot EC71カメラに認証不要のUDP経由でGPS位置情報が漏洩する脆弱性が6年間存在。CVE-2026-9770とCVE-2026-13230としてファームウェア2.4.1で修正済み。

セキュリティ研究者Christopher Childress(BadChemical)は2026年7月16日、TP-Link Kasa Spot EC71屋内カメラのファームウェア2.3.26(ビルド日: 20240425)に2つの重大な脆弱性が存在したことを公開した。CVE-2026-13230は認証なしのUDP通信を介してデバイスのGPS位置情報(自宅の座標)が外部に漏洩するもので、CVE-2026-9770はRSA/IAMに関連する脆弱性。いずれもTP-Link Systems Inc.への責任ある開示(Coordinated Disclosure)を経て、ファームウェア2.4.1で修正された。研究者は本公開をパッチ済み脆弱性の教育目的・防御研究として位置づけており、概念実証(PoC)コードも公開されている。

Sumber

github.com — Baca artikel asli →