世界を動かす技術を、日本語で。

TP-LinkのKasaカメラが6年間にわたり認証されていないUDPを通じて自宅のGPS情報を漏洩

2026年7月18日原文(github.com)

概要

  • TP-Link Kasa Spot EC71 (ファームウェア2.3.26)の 複数脆弱性 に関するセキュリティアドバイザリ
  • 脆弱性は v2.4.1で修正済み、CVE-2026-9770およびCVE-2026-13230に該当
  • 主な問題は RSAキーのハードコード化MD5による認証情報保存GPS情報の未認証漏洩
  • 調査・開示プロセス の詳細なタイムラインを含む
  • 全脆弱性の技術的詳細 と影響範囲を解説

TP-Link Kasa Spot EC71 セキュリティアドバイザリ

  • 対象製品: Kasa Spot EC71 (TP-Link Systems Inc.製)
  • 該当ファームウェア: 2.3.26 (2024年4月25日ビルド、Release ID: 33797)
  • 修正版ファームウェア: 2.4.1
  • CVE番号: CVE-2026-9770 (RSA/IAM)、 CVE-2026-13230 (GPS)
  • 公開日: 2026年7月16日
  • 著者: Christopher Childress (BadChemical)
  • 状態: 修正済み

法的注意事項

  • 本リポジトリは修正済み脆弱性の 教育・防御研究目的 で公開
  • 脆弱性情報は Coordinated Vulnerability Disclosure 規定に従い開示
  • 全ての機密情報(識別子、認証情報ハッシュ、秘密鍵)は マスキング済み

調査概要

  • Kasa Spot EC71 の包括的なセキュリティ分析により、 機密性・完全性・可用性 を損なう複数の脆弱性を発見
  • CH341Aプログラマ によるSPIフラッシュからのファームウェア抽出、 パケット解析ハードウェア解析 を実施
  • 主な脆弱性: 暗号化の失敗認証情報の安全でない保存GPS情報の未認証漏洩
  • 6ヶ月以上の協調的開示 により、v2.4.1で全脆弱性を修正
  • テスト機器の物理的破損 やベンダー側の検証プロセスの課題も発生

脆弱性の全体像

  • RSA秘密鍵のハードコード化 による全機器共通の暗号素材漏洩
  • ユーザーパスワードのunsalted MD5保存 によるクロスドメイン乗っ取りリスク
  • 未認証のGPS座標・デバイス情報漏洩 によるプライバシー侵害

二次的リスク

  • 中古市場経由 で初期化済み機器から 前所有者の認証情報・GPS座標 が復元可能

脆弱性開示タイムライン

  • 2026年1月5日 :最初のアドバイザリをTP-Linkへ送付
  • 2026年1月14日 :ベンダーが報告を認知、該当ファームウェアを確認
  • 2026年1月16日 :ベンダーがPoCスクリプトを要求、TLS証明書問題の修正を約束
  • 2026年1月27日 :RSAキー・認証情報保存の問題を認定、その他はリスク受容/範囲外
  • 2026年3月23日 :アーキテクチャ再設計のため期限延長要請、GPS脆弱性追加報告
  • 2026年4月21日 :GPS問題を個別管理、進捗報告を約束
  • 2026年5月29日 :ベンダー側の誤ったトリアージ対応を指摘し、ビデオPoCで反証
  • 2026年6月5日 :GPS開示期限延長要請を却下、6月22日を最終期限に
  • 2026年6月10日 :CVE-2026-9770ファームウェアロールバック発生、ベータ版提供
  • 2026年6月15日 :ベータファームウェアでテスト機器が物理的に破損
  • 2026年6月24-25日 :交換機器でベータ2.4.1適用、全問題の修正を確認
  • 2026年7月14日 :正式公開、GPS CVE発行

主な脆弱性詳細

Finding 1 — RSA秘密鍵のハードコード化

  • CWE-321 / CWE-327
  • 状態: v2.4.1で修正
  • 内容:
    • ファームウェア内に 全台共通のRSA秘密鍵/証明書ペア を2種格納
    • 2014年発行(1024bit, SHA1, 期限切れ)2021年発行(2048bit, SHA256, 2031年まで有効)
    • どちらも 全機器で同一、SPIフラッシュから抽出可能
  • 影響:
    • 攻撃者が 任意の1台から秘密鍵を抽出 すれば、 全台の通信解読・偽装 が理論上可能
    • 実際の通信はクラウドルートの可能性が高く、現時点での悪用実証は未確認

Finding 2 — パスワードの安全でない保存・クロスドメインリスク

  • CWE-916
  • 状態: v2.4.1で修正
  • 内容:
    • config/account ファイルに unsalted MD5ハッシュ でクラウドアカウント認証情報を保存
    • 初期値は admin/admin、ユーザー登録後は 平文メールアドレス+MD5ハッシュ
  • 影響:
    • TP-Link ID は複数サービスで共通認証に利用
    • MD5ハッシュは容易に解析可能、GPUクラスタ等で総当たりも現実的
    • アカウント乗っ取り・他サービスへの横断的侵害 (Tapoスマートロック、Decoネットワーク、VIGI監視カメラ等)

Finding 3 — 未認証GPS座標・デバイス情報漏洩

  • CWE-359
  • 状態: v2.4.1で修正
  • 内容:
    • UDPポート9999 に{"system":{"get_sysinfo":{}}}を送信すると、 GPS座標・ハードウェアID・デバイスエイリアス・ファームウェア情報 等を含むJSON応答を 未認証で返却
    • 応答は 単純なXOR暗号 のみ、Wiresharkで平文解析可能
    • GPS座標はアカウント作成時のスマホ位置情報 を記録し、 端末初期化でも不変
  • 影響:
    • ローカルネットワーク上の誰でも 家庭の正確な位置情報や識別子を取得可能
    • プライバシー侵害・追跡リスク
  • プロトコル履歴:
    • 2016年 以降、同プロトコルの未認証性が公知
    • 2020年 には他カメラでも同様のGPS漏洩が確認済み
  • 法的・運用上の問題:
    • CCPA等プライバシー法規制 に抵触の可能性
    • ジオフェンシング機能有無に関わらず、GPS座標が自動収集・保存・漏洩

総括:セキュリティ管理・運用上の教訓

  • 全製品群に共通する脆弱性 は、個別修正でなく 包括的なアーキテクチャ見直し が必須
  • 認証情報や位置情報の保存・送信設計 は、 最小限・暗号化・認証必須 が原則
  • 中古品流通時のデータ残存・漏洩リスク にも十分配慮が必要
  • 開示プロセスの透明性・トリアージの厳格化 が今後の信頼性向上に不可欠

Hackerたちの意見

TP-Link Kasaカメラの調整された開示が6ヶ月続いた結果、2つのCVEが発表されました。ベンダーが報告されたペイロードに存在しない脆弱性を説明したトリアージの失敗、私のテストデバイスを永久にブリックしてしまったベータパッチ、そして前の所有者のデータを消去しない工場出荷時リセットがありました。GPSの脆弱性(CVE-2026-13230)は、2020年からこのデバイスクラスで公に文書化されています。単一のUDPパケットで、認証なしにサブメートルの自宅座標が返されます。TP-Linkはこれを5.3の中程度と評価しましたが、私の独自評価は7.1の高評価です。正確な自宅座標は低い機密性の影響ではありません。認証情報の脆弱性(CVE-2026-9770)は、全体のRSAキーとソルトなしのMD5 TP-Link ID認証情報をカバーしています。同じ認証情報がTP-Linkエコシステム全体でグローバル認証を提供します。中古デバイスの工場出荷時リセットではデータが消去されません。設定中にデバイスのソフトAPに接続し、単一のUDPパケットを送信すると、前の所有者のGPS座標が返されます。

せめて、彼らの仕事を手伝った分のお金はもらったの?

このレポートは明らかにAI生成っぽいので、全部読む気にはなれないけど、ざっと見た感じでは「漏れた自宅GPS」って言うと、実際より悪く聞こえるよね。もしこのデバイスでDMZを設定するほどバカじゃなければ、これがインターネットにさらされることはないし、LANだけなら場所はもう知ってるんじゃない?リモート攻撃者が何らかの形でLANにアクセスできたとしても、他の手段(例えば、クラウドソースのWi-Fiデータベースを使う)で場所を推測できると思うよ。

お前がバカじゃなければ(...) ユーザーがサービスから漏れるデータを提供したことを責めてるみたいだけど、それってメールプロバイダーがメールを漏らす状況で、個人のメールを書くユーザーを責めるのと同じだよね。

これは、IoTデバイスが公共のインターネットで通信するべきではないという原則を強調しています。こういった安価な中国製ハードウェアには、意図的または意図しないセキュリティホールが待っていることがほとんどです。

こういった安価な中国製ハードウェアには、意図的または意図しないセキュリティホールが待っていることがほとんどです。なんで悪い中国のコーディングだけを取り上げるの?アメリカのIoTコーディングの方が歴史が長いよ。

インターネットなしで動作するデバイスを買った方がいいし、ルーターのレベルでブラックリストに入れるのが一番だね。価格や出所は漏れがないことを保証する良い指標じゃないよ。

消費者はセキュリティに関心がないんだよね。それが現実。

中国製ハードウェア 正直言って、アメリカ政府にGPSを漏らすよりは、中国政府に漏らした方がマシだよ。どうせ彼らには私に対する管轄権はないし。 > 公共のインターネットで通信するべきではない これは非技術者には無理だね。「普通の人」にとって、IoTデバイスの最大の魅力はリモートで見ることや操作できることだから、VPNを正しく設定するスキルやノウハウは持ってないし、自宅にVPN接続してカスタムアプリをロードするために電話を脱獄するなんて無理だよ。「どこからでも簡単に使える」っていうのが大きな売りなんだ。

これは、IoTデバイスが公共のインターネットで通信するべきじゃないっていう原則を強調してるね。TP-Linkは、家庭用やメッシュルーターを含むネットワークハードウェアの有名なメーカーだよ。

ルーターが「イントラネットのみ」のチェックボックスを設ければ、消費者にとっては解決できると思う。99%の人はファイアウォールの設定なんてできないけど、チェックボックスなら扱えるはず。ただ、タイムシンク用の穴を開けられないのが困りもんで、ローカルのイントラネットタイムサーバーが使えないんだよね。

それがすごく難しいんだよね、ほとんどのデバイスがローカルで動かないから。アプリにクラウド経由で通信するし。大体の会社はMatterやHomeKitを提供したくないんだよね。そうすると、アプリを通じてもっと売れなくなるから。Wyzeはアプリを開くたびに広告が出るし、Honeywellもそう。エコビーなんて、アプリを開くとほとんどの時間バナーが表示されて、画面が下にずれるんだよ。で、最後のやつはファンを制御するためにアプリを使わないといけないから、HomeKitで別のファンコントロールを公開してないんだよね…。

Hacker Newsで議論の続きを見る