CSRF w aplikacjach Tuya i Smart Life – jak się chronić (CVSS 8.8) i co aktualizować natychmiast

Tuya wydała komunikat o luce typu Cross-Site Request Forgery (CSRF) występującej w specyficznych warunkach. Atak może zostać wywołany przez spreparowany link oraz socjotechnikę, prowadząc do nieautoryzowanych akcji na urządzeniach. Poniżej podsumowujemy wpływ, zakres i zalecane działania.

Klasyfikacja ryzyka : wysokie (CVSS 8.8), W komunikacie nie podano identyfikatora CVE. Będziemy aktualizować wpis, gdy się pojawi.
Wymagana interakcja użytkownika (kliknięcie złośliwego linku) : Dotyczy m.in. Tuya SDK <6.5.0, Tuya App 6.3.1 (iOS/Android) oraz Smart Life 6.3.4 (iOS) / 6.3.1 (Android)
Rozwiązanie: aktualizacja do ≥ 6.5.0 + higiena kliknięć i monitoring

Co udało się ustalić? W określonych scenariuszach da się przeprowadzić atak CSRF przeciwko aplikacjom ekosystemu Tuya/Smart Life. Jak wygląda atak? Napastnik przygotowuje link/PoC i kamufluje jego źródło. Wysyła złośliwy URL (np. w wiadomości, reklamie lub na stronie), przekonując ofiarę do kliknięcia. Do ataku może być wykorzystana socjotechnika: prośba o kliknięcie (np. „potwierdzenie”, „aktualizacja urządzenia”). Po kliknięciu mogą zostać wykonane akcje w kontekście aplikacji/urządzenia, z pominięciem intencji użytkownika. Efektem będzie potencjalne obejście ograniczeń uprawnień i wykonanie nieautoryzowanych operacji na urządzeniach zintegrowanych z Tuya/Smart Life.

Kogo dotyczy zagrożenie? (zakres wersji objętych podatnością)
Tuya SDK: wersje < 6.5.0
Tuya App (iOS/Android): 6.3.1
Smart Life (iOS): 6.3.4
Smart Life (Android): 6.3.1

Poziom ryzyka i wektor CVSS 3.1: 8.8 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)

Legenda CVSS 3.1

Zalecenia i działania natychmiastowe

Dla użytkowników

• Zaktualizuj aplikacje Tuya/Smart Life do wersji 6.5.0 lub nowszej.
• Nie klikaj linków z nieznanych źródeł; zwracaj uwagę na prośby o „pilne” działania.
• Regularnie sprawdzaj aktualizacje w sklepie z aplikacjami.

Dla deweloperów i producentów urządzeń

• Podnieś Tuya SDK do ≥ 6.5.0.
• Przeprowadź testy regresyjne z naciskiem na obsługę deeplinków/applinków i kontrolę – pochodzenia żądań.
• Wdróż ochrony anty-CSRF w warstwach, które tego wymagają (tokeny, weryfikacja źródła, ograniczenia schematów URL).

Dla zespołów SOC/IT

• Monitoruj nietypowe wzorce wywołań aplikacyjnych, w tym deeplinki z zewnętrznych źródeł.
• Rozważ filtrację URL i EDR/MDM egzekwujące wersje aplikacji.
• Przygotuj komunikat edukacyjny do użytkowników.

Jak sprawdzić wersję? W ustawieniach aplikacji (sekcja „O aplikacji/Informacje”) porównaj numer wersji z powyższymi. Jeśli masz wersję podatną niezwłocznie aktualizuj.

Luka CSRF w ekosystemie Tuya/Smart Life oceniona na CVSS 8.8 wymaga pilnej aktualizacji do ≥ 6.5.0 oraz podstawowej higieny bezpieczeństwa (nie klikać podejrzanych linków). Zespoły techniczne powinny dodatkowo zweryfikować logikę deeplinków i monitoring.

Źródło: komunikat deweloperów Tuya „Security Announcement – Tuya App CSRF Vulnerability”.