安全研究员Christopher Childress披露,TP-Link旗下智能摄像头Kasa Spot EC71的固件2.3.26存在一个未认证漏洞:设备的9999端口只要收到一条UDP请求,就会返回精确的家庭GPS坐标、MAC地址、设备ID和固件版本,全程不需要密码。该漏洞编号CVE-2026-13230,TP-Link已在2026年发布的固件2.4.1中修复。

真正值得追问的不是这次漏洞本身有多严重,而是这套问题TP-Link不是第一次遇到。2020年,同系列摄像头KC100就曝出过几乎一样的GPS泄露;智能插座产品线当年11月已经补上同类漏洞。摄像头这条线,拖到2026年才修完。

EC71暴露了什么

问题出在get_sysinfo接口上,这是TP-Link智能家居协议里的老功能。发一条{"system":{"get_sysinfo":{}}}指令,摄像头就会原样吐出一份JSON,里面带着经纬度、硬件ID、设备别名和固件版本。数据只做了一层XOR加密,Wireshark能直接解出明文,不用登录也不用配对。

坐标不是实时定位,而是用户开户时手机端上传、写进固件的一次性数据。设备联网工作过,这份坐标基本就等于住址。即使从未打开2023年9月上线的地理围栏功能,坐标依然会存在设备里,依然能被这条协议读出来。

插座早修过,摄像头为什么拖了这么久

TP-Link智能家居协议走9999端口,不需要认证这件事,行业里不是新闻。安全机构softScheck在2016年拆解智能插座HS110时就写过,同一局域网内的任何设备都能操作它。2020年,研究者在Kasa摄像头KC100上验证了几乎一样的GPS泄露。

协议暴露时间线 2016年 协议无认证 被公开研究 2020年 KC100摄像头 GPS泄露曝光 2020年11月 智能插座产品线 率先修复 2024年4月 EC71出厂固件 问题依然存在 直到2026年固件2.4.1,摄像头产品线才补上这个口子

时间线摊开看更清楚:

产品线问题类型曝光时间修复时间
智能插座 HS110协议无认证,可被读写2016年2020年11月
Kasa摄像头 KC100GPS坐标未认证泄露2020年未见公开修复记录
Kasa Spot EC71GPS坐标未认证泄露(CVE-2026-13230)2024年4月出厂时已存在2026年,固件2.4.1

插座产品线2020年11月就把这类问题堵上了。摄像头这条线没跟上——EC71是2024年4月才出厂的新机型,用的还是老协议、老接口。这更像是补丁没有覆盖全部产品线,而不是一次新发现的漏洞。

局域网门槛之外,谁该现在动手

触发这条漏洞有个前提:攻击者已经在同一局域网里,公共Wi-Fi、共享办公网络、被入侵的路由器都算。但这不等于互联网上任何人都能直接拿到某户人家的坐标。

同一批研究里还有一个更麻烦的发现,编号CVE-2026-9770:TP-Link全系设备共用一把RSA私钥,用户密码也以无盐MD5哈希存在本地,理论上存在跨设备撞库的风险。研究人员用ARP欺骗试过拦截本地流量、验证私钥能不能被实际利用,没拦到数据。这条攻击链目前还只停留在推演层面,没有被证实能在真实环境里跑通。

正在用EC71的人,第一件事是查固件版本,确认已经升级到2.4.1,没升级的尽快在Kasa App里手动检查更新。打算买二手Kasa摄像头的人要多留一个心眼:设备恢复出厂设置后,前一位机主的密码哈希和GPS坐标未必清得干净,收到手最好重新走一遍配网流程,别直接沿用旧配置。管理家庭或小型办公网络的人,该做的是把摄像头这类IoT设备单独划到一个网段,限制它跟其他设备互相访问——厂商这次的表现说明,指望补丁一次覆盖所有产品线并不现实。

接下来值得盯的,是TP-Link会不会把同一轮排查扩展到Kasa其他还在服役的老型号,以及CVE-2026-9770那把共用RSA私钥,有没有被证实过可以远程利用。