В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая целый ряд популярных мобильных приложений компании TP-Link. Уязвимость, получившая идентификатор BDU:2026-02304 и CVE-2025-9293, связана с некорректной проверкой сертификатов SSL/TLS. Проще говоря, приложения не могут надёжно отличить легитимный сервер от поддельного. Это создаёт условия для классической атаки "Man-in-the-Middle", когда злоумышленник перехватывает и потенциально изменяет обмен данными между приложением и сервером.
Детали уязвимости
Уязвимость имеет критический уровень опасности. Согласно методологии оценки CVSS 3.1, её базовая оценка составляет 9.6 баллов из 10. Это означает высокую степень серьёзности потенциального воздействия. Удалённый злоумышленник, находящийся в той же сети, что и пользователь, может воспользоваться этой ошибкой. В результате под угрозу попадают все три ключевых принципа информационной безопасности: конфиденциальность, целостность и доступность данных. Например, злоумышленник может перехватить логины и пароли для управления устройствами, подменить прошивки или команды, отправляемые на умные дома, или полностью заблокировать доступ к функциям приложений.
Проблема затрагивает обширный портфель приложений TP-Link для операционной системы Android. В перечень уязвимого программного обеспечения входят как приложения для управления умным домом, так и сетевые утилиты. В частности, под угрозой находятся приложения Tapo (версии до 3.14.111), Kasa (до 3.4.350), Omada (до 4.25.25) и Omada Guard (до 1.1.28) для управления сетевой инфраструктурой и безопасностью. Также уязвимы Tether (до 4.12.27) для настройки маршрутизаторов, Deco (до 3.9.163) для работы с mesh-системами и Aginet (до 2.13.6). Кроме того, в списке присутствуют tpCamera (до 3.2.17), WiFi Toolkit (до 1.4.28), Festa (до 1.7.1), Wi-Fi Navi (до 1.5.5), KidShield (до 1.1.21), TP-Partner (до 2.0.1) и VIGI (до 2.7.70) для систем видеонаблюдения.
Суть уязвимости классифицируется как CWE-295 - "Неправильное подтверждение подлинности сертификата". На практике это позволяет атакующему создать поддельную точку доступа Wi-Fi или внедриться в публичную сеть. Когда пользователь запускает уязвимое приложение, оно не может верифицировать подлинность сертификата сервера TP-Link. Следовательно, приложение устанавливает небезопасное соединение с сервером злоумышленника. В результате атакующий получает полный доступ к данным, которыми обмениваются приложение и настоящее облако TP-Link. Более того, он может модифицировать эти данные или внедрять свой вредоносный код.
Важно отметить, что уязвимость уже подтверждена производителем. Согласно данным из BDU, её статус на текущий момент - "устранена". Это означает, что компания TP-Link выпустила патчи для всех перечисленных приложений. Пользователям критически важно как можно скорее обновить свои приложения через официальный магазин Google Play. Актуальные версии, в которых ошибка исправлена, начинаются с номеров, следующих за указанными в бюллетене.
Компания TP-Link опубликовала рекомендации для пользователей в виде ответов на часто задаваемые вопросы на своих сайтах поддержки. Основная и единственная эффективная мера по устранению угрозы - это установка последних версий приложений. Пока обновление не выполнено, эксперты по кибербезопасности настоятельно рекомендуют избегать использования этих приложений в публичных или недоверенных сетях Wi-Fi, таких как кафе, аэропорты или гостиницы. Предпочтительно управлять устройствами только через защищённые домашние сети. Кроме того, стоит временно ограничить использование критически важных функций, таких как удалённый доступ или изменение системных конфигураций.
На текущий момент нет подтверждённых данных об активных атаках с использованием этой уязвимости. Учитывая огромную пользовательскую базу TP-Link по всему миру, можно ожидать, что интерес к ней со стороны исследователей безопасности и потенциальных злоумышленников будет высоким. Поэтому промедление с обновлением может быть сопряжено с серьёзным риском.
Эта ситуация служит очередным напоминанием о важности своевременного обновления программного обеспечения, особенно для IoT-устройств и сопутствующих мобильных приложений. Производители, со своей стороны, должны уделять повышенное внимание безопасности на этапе разработки, в частности, корректной реализации криптографических протоколов. Регулярный аудит кода и тестирование на проникновение могли бы помочь выявить подобные фундаментальные ошибки до выпуска продукта на рынок. В конечном счёте, безопасность экосистемы умного дома строится на совместных усилиях вендоров, своевременно выпускающих патчи, и сознательности пользователей, которые их оперативно устанавливают.
Ссылки
- https://bdu.fstec.ru/vul/2026-02304
- https://www.cve.org/CVERecord?id=CVE-2025-9293
- https://www.tp-link.com/us/support/faq/4969/
- https://www.omadanetworks.com/us/support/faq/4969/
