Guia LivSmart
Notícia

Falha em Tapo expõe dados de setup por Bluetooth

Vulnerabilidade CVE-2026-34126 afeta lâmpadas, filtros de linha e chimes Tapo; correção exige atualizar o firmware.

AD
Adriano d'Avila Borges
09 de junho de 20263 min de leitura
Compartilhar
Logotipo da TP-Link usado em notícia sobre vulnerabilidade em dispositivos Tapo
Resumo rápido
  • A vulnerabilidade CVE-2026-34126 foi reportada em 5 de junho em dispositivos TP-Link Tapo.
  • O problema ocorre na comunicação Bluetooth durante a configuração inicial do dispositivo.
  • Modelos citados incluem Tapo L535E, Tapo P300 e Tapo D100C em versões específicas.
  • A correção passa pela atualização de firmware indicada para cada modelo.
Atualizado em 05/06/2026

Antes, o risco parecia estar depois da instalação: senha fraca, Wi‑Fi mal configurado, app esquecido. Agora o ponto crítico aparece no começo da vida do dispositivo, durante o setup por Bluetooth.

A vulnerabilidade CVE-2026-34126, reportada em 5 de junho pelo SecurityOnline com base em aviso da TP-Link, afeta dispositivos Tapo que transmitem dados de configuração em texto claro durante a inicialização. O problema recebeu CVSS 7,3, classificação alta, e envolve comunicação Bluetooth sem criptografia nessa etapa.

Quais dispositivos Tapo aparecem no alerta#

Os modelos citados no aviso são Tapo L535E v1.0 e v3.0, Tapo P300 v1.0 e Tapo D100C v1.0. Em português de instalação residencial: lâmpada inteligente, filtro de linha/tomada múltipla e chime de câmera ou campainha. Não é uma categoria exótica. São acessórios comuns em casas conectadas.

A falha permite que um atacante próximo, dentro do alcance Bluetooth, capture pacotes do processo de configuração. Segundo a descrição atribuída à TP-Link no relatório, técnicas de Bluetooth sniffing ou man-in-the-middle poderiam permitir escuta da comunicação, manipulação de dados de setup e potencial controle não autorizado durante a inicialização.

Firmware é a correção prática#

A recomendação factual é atualizar. A Tapo L535E deve ir para o firmware 1.4.1. A Tapo P300 precisa das versões 1.4.2 ou 1.4.0, conforme região. A Tapo D100C deve rodar a versão 1.3.1. Esses números importam porque “app atualizado” não garante que o firmware do acessório tenha sido corrigido.

A posição oficial citada no relatório é clara: o comportamento inseguro ocorre durante a fase inicial de configuração. Isso reduz o tempo de exposição, mas não elimina o risco. Em condomínios, prédios densos e casas com vizinhos muito próximos, alcance Bluetooth deixa de ser uma barreira tranquilizadora.

Por que isso afeta a casa inteligente comum#

Dispositivo de automação barato costuma entrar na casa pela porta do “é só parear”. O problema é que o pareamento é justamente a hora em que app, celular, rede Wi‑Fi e dispositivo trocam informações sensíveis. Se essa conversa sai em texto claro, a conveniência vira superfície de ataque.

O que ainda falta saber é se a TP-Link vai ampliar a lista de modelos afetados ou publicar telemetria de exploração real da CVE-2026-34126.

AD
Escrito por
Adriano d'Avila Borges
Notícia · Segurança
AnteriorGoogle Home ganha Pet Memory em câmeras com Gemini09 de junho de 2026PróximoGemini podia acionar Google Home por notificação falsa09 de junho de 2026