TP-Link Tapo C200: Kunci Hardcoded, Buffer Overflow, dan Privasi di Era Reverse Engineering Berbasis AI

• Analisis firmware kamera IP TP-Link Tapo C200 berbiaya rendah dengan reverse engineering berbasis AI menemukan sejumlah kerentanan keamanan
• Firmware tersebut menyertakan kunci privat SSL yang di-hardcode, sehingga trafik HTTPS di jaringan yang sama dapat didekripsi
• Dalam proses analisis, digunakan alat AI (Grok, GhidraMCP, Cline, dll.) untuk mengotomatiskan pemahaman struktur firmware dan analisis makna fungsi
• Kerentanan utama yang ditemukan mencakup buffer overflow (CVE-2025-8065), integer overflow (CVE-2025-14299), dan pembajakan WiFi (CVE-2025-14300), dengan sebagian dapat dieksploitasi dari jarak jauh tanpa autentikasi
• Kasus ini dinilai sebagai contoh bagaimana AI meningkatkan efisiensi riset keamanan sekaligus menyingkap kerentanan struktural pada perangkat IoT

Perolehan dan dekripsi firmware

• Dengan melakukan reverse engineering pada aplikasi Android Tapo, ditemukan bucket S3 publik milik TP-Link, yang memungkinkan firmware semua perangkat diunduh tanpa autentikasi
  • Contoh perintah: aws s3 ls s3://download.tplinkcloud.com/ --no-sign-request --recursive
• Dekripsi firmware dilakukan menggunakan alat tp-link-decrypt
  • Kunci RSA dapat diekstrak dari materi publikasi kode GPL milik TP-Link
• Firmware yang telah didekripsi tersusun atas bootloader, kernel, dan root filesystem SquashFS

Reverse engineering berbasis AI

• Otomatisasi analisis firmware dilakukan dengan memanfaatkan Ghidra, GhidraMCP, Cline, Anthropic Opus/Sonnet 4, dan lainnya
• AI menjelaskan peran fungsi dan mengganti nama variabel menjadi lebih bermakna sehingga keterbacaan kode meningkat
• Melalui proses ini, handler HTTP, protokol discovery, dan rutin kriptografi dapat dipetakan
• Dikonfirmasi bahwa kunci privat SSL di firmware tidak dibuat saat boot, melainkan sudah tertanam
  • Penyerang di jaringan yang sama dapat mendekripsi trafik HTTPS

Kerentanan utama

• CVE-2025-8065 (memory overflow pada parser XML SOAP ONVIF)

  • Server /bin/main di port 2020 tidak memiliki pemeriksaan batas terhadap jumlah elemen XML
  • Mengirim permintaan XML dalam jumlah besar dapat memicu memory overflow dan crash pada kamera
  • Skor CVSS v4.0 7.1 (High)

• CVE-2025-14299 (integer overflow pada Content-Length HTTPS)

  • Server HTTPS di port 443 memproses header Content-Length dengan atoi() tanpa validasi
  • Pada sistem 32-bit, hal ini dapat menyebabkan crash akibat overflow
  • Skor CVSS v4.0 7.1 (High)

• CVE-2025-14300 (pembajakan WiFi)

  • API connectAp dapat diakses tanpa autentikasi dan tetap aktif setelah penyiapan selesai
  • Penyerang dapat menghubungkan kamera ke jaringan milik penyerang untuk menyadap trafik video
  • Skor CVSS v4.0 8.7 (High)

• API pemindaian WiFi tanpa autentikasi (scanApList)

  • Mengembalikan SSID, BSSID, kekuatan sinyal, dan konfigurasi keamanan WiFi di sekitar
  • Dengan Apple BSSID Locator dan sejenisnya, lokasi GPS yang akurat dapat dilacak
  • Penyerang jarak jauh dapat mengidentifikasi lokasi fisik kamera

Proses pengungkapan dan respons

• 22 Juli 2025: laporan awal dikirim ke tim keamanan TP-Link, termasuk PoC dan video
• Setelah 150 hari (19 Desember): informasi dipublikasikan, lalu TP-Link menerbitkan advisori keamanan
• TP-Link memiliki kewenangan menerbitkan CVE sendiri (CNA), sehingga dapat mengendalikan langsung proses pelaporan dan pengungkapan kerentanan produknya
• Di situsnya, perusahaan menggunakan jumlah CVE yang lebih rendah dibanding pesaing sebagai metrik pemasaran, yang dinilai menunjukkan struktur konflik kepentingan

Kesimpulan

• Alat AI memaksimalkan efisiensi reverse engineering dan meningkatkan aksesibilitas riset keamanan
• Namun, kunci hardcoded, API tanpa autentikasi, dan struktur parser yang lemah menunjukkan ketiadaan keamanan mendasar pada perangkat IoT
• Kasus TP-Link secara simbolis menunjukkan persoalan keseimbangan antara riset keamanan di era AI dan tanggung jawab produsen