TP-Link Tapo C200: हार्डकोडेड keys, buffer overflow, और AI-आधारित reverse engineering के दौर में privacy

(evilsocket.net)

1 पॉइंट द्वारा GN⁺ 2025-12-21 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें

कम कीमत वाले TP-Link Tapo C200 IP कैमरा के firmware का AI-आधारित reverse engineering से विश्लेषण करने पर कई security vulnerabilities मिलीं
firmware में hardcoded SSL private key शामिल है, जिससे उसी network के भीतर HTTPS traffic decrypt किया जा सकता है
विश्लेषण प्रक्रिया में AI tools (Grok, GhidraMCP, Cline आदि) का उपयोग करके firmware structure की समझ और function के अर्थ के विश्लेषण को automate किया गया
पाई गई प्रमुख vulnerabilities में buffer overflow (CVE-2025-8065), integer overflow (CVE-2025-14299), WiFi hijacking (CVE-2025-14300) आदि शामिल हैं, जिनमें से कुछ पर authentication के बिना remote attack संभव है
इस मामले को ऐसे उदाहरण के रूप में देखा जा रहा है, जहाँ AI security research की efficiency बढ़ाता है और साथ ही IoT devices की structural weaknesses को उजागर करता है

Firmware प्राप्ति और decryption

Tapo Android app का reverse engineering करके TP-Link का public S3 bucket मिला, जहाँ से सभी devices का firmware बिना authentication के download किया जा सकता है
- उदाहरण command: aws s3 ls s3://download.tplinkcloud.com/ --no-sign-request --recursive
tp-link-decrypt tool का उपयोग करके firmware decrypt किया गया
- RSA key को TP-Link के GPL code release materials से निकाला जा सकता है
decrypt किया गया firmware bootloader, kernel, SquashFS root filesystem संरचना से बना है

Ghidra, GhidraMCP, Cline, Anthropic Opus/Sonnet 4 आदि का उपयोग करके firmware analysis automate किया गया
AI ने functions की भूमिका समझाई और variable names को अर्थपूर्ण तरीके से rename किया, जिससे code readability बेहतर हुई
इस प्रक्रिया से HTTP handlers, discovery protocol, encryption routines आदि को map किया गया
यह पुष्टि हुई कि firmware के भीतर SSL private key boot के समय generate नहीं होती, बल्कि embedded है
- उसी network के भीतर मौजूद attacker HTTPS traffic decrypt कर सकता है

CVE-2025-8065 (ONVIF SOAP XML parser memory overflow)
- port 2020 पर /bin/main server में XML elements की संख्या के लिए boundary check नहीं है
- बहुत अधिक XML requests भेजने पर memory overflow और camera crash होता है
- CVSS v4.0 score 7.1 (High)
CVE-2025-14299 (HTTPS Content-Length integer overflow)
- port 443 का HTTPS server Content-Length header को validation के बिना atoi() से process करता है
- 32-bit systems पर overflow के कारण crash होता है
- CVSS v4.0 score 7.1 (High)
CVE-2025-14300 (WiFi hijacking)
- connectAp API authentication के बिना accessible है और setup पूरा होने के बाद भी active रहती है
- attacker कैमरे को attacker network से connect कराकर video traffic intercept कर सकता है
- CVSS v4.0 score 8.7 (High)
authentication के बिना WiFi scan API (scanApList)
- आसपास के WiFi का SSID, BSSID, signal strength, security settings लौटाता है
- Apple BSSID Locator आदि के जरिए सटीक GPS location tracking संभव है
- remote attacker camera की वास्तविक location पहचान सकता है

22 जुलाई 2025 को TP-Link security team को पहली रिपोर्ट भेजी गई, जिसमें PoC और वीडियो शामिल थे
150 दिन बाद (19 दिसंबर) इसे public किया गया, जिसके बाद TP-Link ने security advisory जारी की
TP-Link के पास अपना CVE issuing authority (CNA) है, जिससे वह अपने products की vulnerabilities के reporting और disclosure process को सीधे control करता है
अपनी website पर कंपनी प्रतिस्पर्धियों की तुलना में कम CVE संख्या को marketing metric की तरह इस्तेमाल करती है, जिससे conflict of interest की ओर इशारा होता है

AI tools reverse engineering की efficiency को अधिकतम करते हैं और security research की accessibility बढ़ाते हैं
लेकिन hardcoded keys, authentication के बिना APIs, और कमजोर parser structure जैसे मुद्दे IoT devices में मौलिक security की कमी को उजागर करते हैं
TP-Link का यह मामला AI युग में security research और manufacturer responsibility के बीच संतुलन के सवाल को प्रतीकात्मक रूप से दिखाता है