• 3 min de lectura
Cámara TP-Link Kasa expuso la ubicación GPS del hogar durante años
El investigador Christopher Childress afirma que la Kasa Spot EC71 de TP-Link filtró datos GPS precisos del hogar a través de UDP no autenticado hasta el firmware 2.4.1.

Imagen: Hacker News
Una vulnerabilidad corregida en la Kasa Spot EC71 de TP-Link expuso las coordenadas GPS precisas del hogar de un usuario a cualquiera en la red local con una sola solicitud UDP no autenticada, según el investigador de seguridad Christopher Childress. El problema, identificado como CVE-2026-13230, se solucionó en el firmware 2.4.1 tras un proceso de divulgación que comenzó el 5 de enero de 2026 y concluyó con la publicación el 14 de julio de 2026.
El informe de Childress también describe otros dos fallos corregidos en la v2.4.1: una clave privada RSA común a toda la flota incrustada en el firmware y el almacenamiento de credenciales de TP-Link ID con MD5 sin sal. El investigador analizó el firmware de la versión 2.3.26 para la Kasa Spot EC71, extrayéndolo físicamente de la memoria SPI de la cámara y combinando eso con análisis de paquetes de red y de hardware.
Qué expuso la cámara
Según el informe, enviar {“system”:{“get_sysinfo”:{}}} al puerto 9999 devolvía una respuesta JSON que contenía:
- Coordenadas GPS
- Identificadores de hardware, incluidos oemId, hwId, deviceId, mac y mic_mac
- El alias del dispositivo asignado por el usuario
- La cadena completa de la versión del firmware
Los datos estaban protegidos solo por un cifrado XOR simple, que según el investigador Wireshark puede descifrar de forma nativa. No se requería autenticación, token de sesión ni configuración previa.

Recomendado
CISA señala dos vulnerabilidades críticas de FortiSandbox en explotación
Childress afirma que la cámara almacena las coordenadas GPS obtenidas del dispositivo móvil durante la creación de la cuenta y las conserva de forma permanente en el firmware a menos que se sincronicen manualmente. El informe sostiene que este comportamiento había sido documentado públicamente en productos relacionados de TP-Link durante años: el protocolo no autenticado del puerto 9999 data de julio de 2016, y una filtración de GPS similar en una cámara TP-Link KC100 se documentó en agosto de 2020.
Otros fallos corregidos y cronología de la divulgación
El otro hallazgo principal del informe, CVE-2026-9770, abarcaba claves RSA codificadas en el firmware y almacenamiento inseguro de credenciales. Childress afirma que la clave privada RSA activa de 2048 bits era idéntica en todos los dispositivos con esa compilación de firmware, mientras que las credenciales de usuario se almacenaban en config/account con la dirección de correo en texto plano y la contraseña como un hash MD5 sin sal.
El proceso de divulgación se extendió durante seis meses e incluyó retrasos, una solicitud de prórroga y una actualización beta fallida. El 15 de junio de 2026, el firmware beta 2.4.00 inutilizó permanentemente el dispositivo de prueba, según el informe, y TP-Link confirmó más tarde que no existía una vía de recuperación por software. Una unidad de reemplazo con la beta 2.4.1 fue validada el 25 de junio de 2026, y el investigador confirmó que todos los hallazgos principales habían sido corregidos.
TP-Link inició un despliegue gradual de 1,5 a 2 semanas el 26 de junio de 2026. La versión parcheada es el firmware 2.4.1.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía Hacker News


