• 3 min de lectura
Cámaras TP-Link Kasa expusieron la ubicación GPS del hogar durante seis años
Las cámaras TP-Link Kasa EC71 expusieron coordenadas GPS precisas del hogar, identificadores de hardware, claves RSA y credenciales hash hasta el firmware 2.4.1.

Imagen: Hacker News
Una revisión de seguridad de la cámara de interior Kasa Spot EC71 de TP-Link encontró que una consulta no autenticada al dispositivo podía exponer las coordenadas precisas del hogar del propietario en la red local. El problema existía en el firmware 2.3.26, publicado con fecha de compilación del 25 de abril de 2024, y se corrigió en la versión 2.4.1.
El investigador Christopher Childress de BadChemical publicó el aviso el 16 de julio de 2026, tras una divulgación coordinada que comenzó el 5 de enero de 2026. TP-Link Systems Inc. subsanó tres hallazgos principales: claves privadas RSA compartidas en la flota, almacenamiento de contraseñas MD5 sin sal y la exposición GPS sin autenticación.
Exposición GPS del Kasa EC71
Un único paquete UDP que contenía {“system”:{“get_sysinfo”:{}}} enviado al puerto 9999 devolvía JSON que contenía:
- Coordenadas GPS precisas
- Identificadores de hardware, incluidos oemId, hwId, deviceId, mac y mic_mac
- El nombre del dispositivo asignado por el usuario
- La versión completa del firmware
El protocolo utiliza solo un cifrado XOR trivial, que Wireshark puede decodificar como texto claro. No se requiere autenticación, credencial de sesión ni configuración previa del dispositivo.
Las coordenadas se recogen desde el GPS del dispositivo móvil durante la creación de la cuenta y se almacenan en el archivo config/location de la cámara. Permanecen estáticas a menos que se sincronicen manualmente y se devuelven independientemente de si el propietario activó la función de geovallado (geofencing) de Kasa.

Recomendado
ClickLock Stealer atrapa a usuarios de macOS con solicitudes de contraseña
El aviso indica que una exposición GPS no autenticada idéntica se documentó públicamente en agosto de 2020 para la cámara KC100 de TP-Link. El protocolo Smart Home subyacente sin autenticación en el puerto 9999 ha estado documentado públicamente desde julio de 2016. TP-Link corrigió una clase de vulnerabilidad idéntica en su línea de enchufes inteligentes en noviembre de 2020, pero no extendió esa remediación a su línea de cámaras en ese momento.
Claves RSA y almacenamiento de contraseñas
El firmware del EC71 contenía dos pares completos de clave y certificado RSA compartidos entre todos los dispositivos que ejecutaban la compilación afectada. El par activo usaba una clave RSA de 2048 bits emitida en 2021 y válida hasta julio de 2031; un par heredado de 1024 bits emitido en 2014 había caducado en julio de 2024.
Ambas claves privadas podían extraerse de la memoria SPI flash de la cámara. La clave activa coincidía con el certificado servido en tiempo de ejecución, lo que potencialmente exponía el material criptográfico de toda la flota desplegada. El investigador no demostró la intercepción de tráfico activo, y un intento de ARP‑spoofing no capturó datos locales de la aplicación al dispositivo.
La cámara también almacenaba credenciales de TP-Link ID en config/account. El correo de la cuenta se conservaba en texto plano, mientras que la contraseña se almacenaba como un hash MD5 sin sal. Dado que las credenciales de TP-Link ID se usan en servicios como Kasa, Tapo, Deco, Omada, Aginet y VIGI, el aviso describe la posibilidad de una toma de control de cuentas entre dominios si se recupera el hash.
El firmware se extrajo utilizando un programador CH341A conectado al chip SPI flash. Una actualización beta del firmware dejó posteriormente la cámara de prueba permanentemente no responsive, lo que requirió un dispositivo de reemplazo y una recuperación a nivel de hardware. TP-Link completó la validación de la beta 2.4.1 el 25 de junio de 2026 y confirmó que el despliegue por etapas estaba en marcha al día siguiente.
TP-Link asignó al CVE-2026-9770 una puntuación CVSS 4.0 de 8.6 por los hallazgos relacionados con RSA y credenciales. El problema del GPS figura como CVE-2026-13230, con una puntuación CVSS 4.0 de TP-Link de 5.3; la evaluación independiente del investigador la calificó con 7.1. Ambos se marcaron como remediados en el firmware 2.4.1.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía Hacker News


