TP-Link Tapo C200: Sabit Kodlanmış Anahtarlar, Buffer Overflow ve Yapay Zeka Destekli Tersine Mühendislik Çağında Gizlilik

 (evilsocket.net)
1 puan yazan GN⁺ 2025-12-21 | 1 yorum | WhatsApp'ta paylaş
  • Düşük maliyetli TP-Link Tapo C200 IP kamerasının ürün yazılımı, yapay zeka destekli tersine mühendislikle analiz edildi ve çok sayıda güvenlik açığı bulundu
  • Ürün yazılımında sabit kodlanmış bir SSL özel anahtarı yer alıyor; bu da aynı ağ içinden HTTPS trafiğinin şifresinin çözülmesini mümkün kılıyor
  • Analiz sürecinde ürün yazılımı yapısını anlamak ve işlevlerin anlamını çözümlemeyi otomatikleştirmek için yapay zeka araçları (Grok, GhidraMCP, Cline vb.) kullanıldı
  • Tespit edilen başlıca açıklar arasında buffer overflow (CVE-2025-8065), integer overflow (CVE-2025-14299) ve WiFi hijacking (CVE-2025-14300) bulunuyor; bunların bazıları kimlik doğrulama olmadan uzaktan saldırıya açık
  • Bu vaka, yapay zekanın güvenlik araştırmalarının verimliliğini artırırken aynı zamanda IoT cihazlarının yapısal zayıflıklarını da ortaya çıkardığını gösteren bir örnek olarak değerlendiriliyor

Ürün yazılımının elde edilmesi ve şifresinin çözülmesi

  • Tapo Android uygulaması tersine mühendislikle incelenerek TP-Link'in herkese açık S3 bucket'ı bulundu; tüm cihazların ürün yazılımları kimlik doğrulama olmadan indirilebiliyor
    • Örnek komut: aws s3 ls s3://download.tplinkcloud.com/ --no-sign-request --recursive
  • tp-link-decrypt aracı kullanılarak ürün yazılımının şifresi çözüldü
    • RSA anahtarı, TP-Link'in GPL kaynak kodu yayınlarından çıkarılabiliyor
  • Şifresi çözülen ürün yazılımı bootloader, kernel ve SquashFS root filesystem yapısından oluşuyor

Yapay zeka destekli tersine mühendislik

  • Ürün yazılımı analizini otomatikleştirmek için Ghidra, GhidraMCP, Cline, Anthropic Opus/Sonnet 4 gibi araçlar kullanıldı
  • Yapay zeka, işlevlerin ne yaptığını açıklayıp değişken adlarını anlamlı şekilde yeniden adlandırarak kodun okunabilirliğini artırdı
  • Bu süreç sayesinde HTTP handler'ları, keşif protokolü ve kriptografik rutinler haritalandı
  • Ürün yazılımındaki SSL özel anahtarının açılışta üretilmediği, gömülü olarak geldiği doğrulandı
    • Aynı ağdaki bir saldırgan HTTPS trafiğinin şifresini çözebilir

Başlıca güvenlik açıkları

  • CVE-2025-8065 (ONVIF SOAP XML parser bellek taşması)

    • 2020 portundaki /bin/main sunucusunda XML öğesi sayısı için sınır kontrolü bulunmuyor
    • Çok sayıda XML isteği gönderildiğinde bellek taşması ve kameranın çökmesi yaşanıyor
    • CVSS v4.0 puanı 7.1 (High)

  • CVE-2025-14299 (HTTPS Content-Length integer overflow)

    • 443 portundaki HTTPS sunucusu Content-Length başlığını doğrulama yapmadan atoi() ile işliyor
    • 32 bit sistemlerde overflow kaynaklı çökme meydana geliyor
    • CVSS v4.0 puanı 7.1 (High)

  • CVE-2025-14300 (WiFi hijacking)

    • connectAp API'sine kimlik doğrulama olmadan erişilebiliyor ve kurulum tamamlandıktan sonra da aktif kalıyor
    • Saldırgan, kamerayı kendi ağına bağlayarak video trafiğini ele geçirebiliyor
    • CVSS v4.0 puanı 8.7 (High)

  • Kimlik doğrulamasız WiFi tarama API'si (scanApList)

    • Yakındaki WiFi ağlarının SSID, BSSID, sinyal gücü ve güvenlik ayarlarını döndürüyor
    • Apple BSSID Locator gibi hizmetlerle kesin GPS konumu takibi mümkün
    • Uzaktaki bir saldırgan kameranın gerçek konumunu belirleyebilir

Açıklama ve yanıt süreci

  • İlk bildirim 22 Temmuz 2025'te PoC ve video ile birlikte TP-Link güvenlik ekibine yapıldı
  • 150 gün sonra (19 Aralık'ta) kamuya açıklandı; ardından TP-Link bir güvenlik tavsiye metni yayımladı
  • TP-Link, kendi CVE atama yetkisine (CNA) sahip; bu sayede kendi ürünlerindeki açıkların raporlama ve açıklama sürecini doğrudan kontrol ediyor
  • Şirketin web sitesinde rakiplerine kıyasla daha düşük CVE sayısını pazarlama metriği olarak kullanması, çıkar çatışması yaratan bir yapı olarak eleştiriliyor

Sonuç

  • Yapay zeka araçları tersine mühendislik verimliliğini en üst düzeye çıkarıyor ve güvenlik araştırmalarına erişimi artırıyor
  • Ancak sabit kodlanmış anahtarlar, kimlik doğrulamasız API'ler ve zayıf parser yapıları, IoT cihazlarında temel güvenlik eksikliğini ortaya koyuyor
  • TP-Link vakası, yapay zeka çağında güvenlik araştırmaları ile üretici sorumluluğu arasındaki denge sorununu simgesel biçimde gösteriyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-12-21
Hacker News görüşleri

  • Bu tür yazıların gerçek başarısızlık örneklerini FAANG’in bile zorlandığı sorunlarla harmanlayarak eleştirmesi üzücü
    Özellikle “TP-Link’in firmware deposu kimlik doğrulaması olmayan herkese açık bir S3 bucket’taydı” kısmını eleştirel ele almak yanlış bir yaklaşım
    Hatta bunun gizlilik yoluyla güvenlikten (security through obscurity) kaçınan iyi bir örnek olduğunu düşünüyorum
    Bu tür yazılar yöneticilerin yanlış şekilde “kilitleri daha da sıkılaştırın” talimatı vermesine bile yol açabilir

    • Yazının kendisi akıcıydı ama LLM yazmış gibi bir ton hissediliyordu
      Yapay zeka tarafından yazılan metinlerde ince nüanslar eksik oluyor ve her şeyi gereğinden fazla yeni ya da iyi-kötü diye kesin hükümlere bağlıyor
      Kötü bir yazı değil ama okurken dikkatli olmak gerek. Bugünlerde HN’ye çıkan yazıların çoğu sanki yapay zeka desteği almış gibi
    • “Firmware deposu açık” denince “Linux’tan hiç bahsetmeyelim” diye şaka yapanlar oldu
    • Bu tür reverse engineering blogları aslında sadece eğlenceli ve öğretici bir hikâye anlatım biçimi
      Ben de bundan birkaç kez yazdım ve bu yazı gerçekten ilgi çekiciydi
      Aslında “firmware’i nasıl elde ettiğin” bu hikâyenin en önemsiz kısmı
    • Firmware’in açık olması kısmında hiç olumsuz bir ton sezmedim. Bunu gerçekten öyle hisseden oldu mu diye merak edenler vardı
    • Bence firmware her zaman açık olmalı. Doğru yön bu

  • Diğer kamera modellerinin çoğunun da benzer güvenlik açıklarını paylaşıyor olması muhtemel
    TP-Link topluluk sayfasına göre C200 için en güncel firmware 1.4.4 olarak görünüyor ama yazıda 1.4.2’den bahsediliyor
    Yani bazı güncellemeler olmuş olsa da güvenlik yamaları eklenmemiş gibi görünüyor

    • Daha önce Zyxel ürünlerini analiz ettiğimde de aynı sonuca varmıştım
      Pek çok üretici ortak donanımı sadece yeniden markalayarak satıyor
      İlgili analiz yazıları: Part 1, Part 2
    • Bu tür kameralar yerel bağlantı için uygun ama sıradan kullanıcılar için hâlâ ciddi kullanılabilirlik sorunları var

  • Bu yüzden IoT ağ segmentasyonu şart
    Tüm akıllı kameralar ve IoT cihazları ayrı bir VLAN’a konulmalı, internet erişimi de firewall üzerinden sınırlandırılmalı
    TP-Link kamera kullanıcıları için önerilen ayarlar:

    1. Router’da UPnP’yi devre dışı bırakın
    2. IoT cihazlarını VLAN ile ayırın
    3. Yalnızca gerekli endpoint’lere outbound erişime izin verin
    4. Mümkünse açık firmware ile değiştirin
    5. Güncellemeleri düzenli olarak kontrol edin
      Hardcoded key sorunu özellikle ciddi ve tüm ürün hattını etkiliyor
    • Bir arkadaşımın ev ağını test etmiştim; PoE interkom sistemi üzerinden tüm iç ağa erişilebiliyordu
      IoT cihazlarını VLAN ile ayırmamıştı ve uyarı sistemi de yoktu
      Sonunda o gün VLAN ayrımı ve erişim kısıtlamasının önemini bizzat öğrenmiş oldu
      Birçok insanın iç ağını benzer şekilde açığa çıkardığını düşünüyorum
    • VLAN kurulumunu adım adım anlatan bir rehber olup olmadığını soranlar da vardı. Teknik olarak mümkün ama somut prosedür gerekiyor

  • Thingino C200’ü destekliyor deniyor

    • Ama pratikte C200’ün 5 sürümünden yalnızca bazıları destekleniyor
      Doğru chipset’i doğrulamak için OpenIPC'ye bakmak gerekiyor
    • Thingino topluluğunun ürettiği firmware gerçekten etkileyici
      Uyumlu bir kameranız varsa mutlaka denemeye değer

  • Ben tüm kameraları internete kapalı bir VLAN içinde kullanıyorum
    HomeKit üzerinden yerel erişim mümkün olduğu için ayrıca bir uygulama olmadan da sorunsuz çalışıyor

  • Bu düzeydeki güvenlik ihmali neredeyse kasıtlı gibi görünüyor
    Milyonlarca cihaz satıp da temel zafiyet kontrollerini yapmamak anlaşılır gibi değil
    150 dolar altındaki Wi‑Fi kameraların çoğunda benzer sorunlar olduğunu düşünüyorum
    Gerçekten güvenli kullanmak istiyorsan tek çare proprietary olmayan bir Wi‑Fi ↔ Ethernet adaptörünü kendin yapmak gibi görünüyor

    • Bu kamera resmi sitede 17.99 dolara satılıyor
      Donanım, paketleme, lojistik, test ve iadeler düşünülünce geriye birim başına 5 doların altında kâr kalıyor
      Bunun üstüne 100.000 dolar ek geliştirme maliyeti koymak, 20.000 cihazı yakmak demek
      TP-Link gibi geniş ürün yelpazesine sahip şirketlerde bu maliyet yıllık onlarca milyon dolara çıkıyor
      Sonuçta ortaya asgari geliştirmeyle sevk etme düzeni çıkıyor
    • Bazı USB ile çalışan kameralar USB network adapter desteği sunuyor
      Teknik olarak yetkin biri Thingino firmware ile yalnızca yerel çalışan bir kurulum yapabilir
    • Bu tür kameralar asla güvenilmeyen bir ağda tutulmamalı. Bu son derece açık bir ilke
    • “Tüm Wi‑Fi kameralar benzer sorunlara sahip” görüşüne tamamen katılanlar da vardı

  • TP-Link’in S3 firmware deposunun ne kadar daha açık kalacağını bilmiyorum
    Yaklaşık 990GiB veri var; birilerinin bunu arşiv ya da torrent olarak yedeklemesi iyi olurdu

  • Ben bu kamerayı Unifi + ONVIF ile yalnızca önemsiz işler için kullanıyorum
    Ayrı bir VLAN’a koyup internetini kestim ve neyse ki sorunsuz çalışıyor

  • Kameraları araştırırken drmnsamoliu.github.io sitesine bakmıştım

  • Ghidra ve AWS Amazon Q kullanarak oyuncak bir drone’un video akışını reverse ettim
    GhidraMCP kullansaydım muhtemelen çok daha hızlı olurdu