Bluetooth Sicherheitslücke bei TP-Link Tapo: Wenn Smart Bulbs im Klartext plaudern

In TP-Link-Tapo-Geräten klafft eine Sicherheitslücke, die beim ersten Einrichten sensible Daten unverschlüsselt per Bluetooth überträgt. Firmware-Updates stehen bereit, aber nur wer aktiv sucht, bekommt sie.

Was passiert beim Einrichten eines Tapo-Geräts?

Wer eine neue Tapo-Glühbirne oder Steckdosenleiste in Betrieb nimmt, kennt den Ablauf: App öffnen, Gerät in Reichweite halten, kurz warten. Was dabei im Hintergrund passiert: Das Gerät und das Smartphone tauschen per Bluetooth LE – Bluetooth Low Energy, eine energiesparende Kurzstreckenfunktechnik – Konfigurationsdaten aus: Geräteeinstellungen, Authentifizierungsparameter und weitere Setup-Daten.

Genau hier liegt das Problem. Laut JVN-Meldung JVN#70631953 (Japan Vulnerability Notes, Japans offiziellem Schwachstellenportal, betrieben von JPCERT/CC und IPA) erfolgt diese Übertragung bei den betroffenen Geräten ohne Verschlüsselung. Im Fachvokabular heißt das CWE-319 – Cleartext Transmission of Sensitive Information: Sicherheitskritische Daten wandern lesbar durch die Luft, statt verschlüsselt.

Entdeckt wurde die Lücke von eyegrep und izurina der L Plus LLC, die den Fund über Japans koordiniertes Meldeverfahren (Information Security Early Warning Partnership) an die IPA übermittelten. JPCERT/CC koordinierte die Offenlegung mit TP-Link.

Drei Produkte, eine Schwachstelle, CVE-2026-34126

TP-Links eigenes Security Advisory benennt die betroffenen Geräte konkret:

Die Smart-Bulb Tapo L535E in den Hardware-Versionen v3.0 (EU/US) und v1.0 (JP) benötigt Firmware ab Version 1.4.1 Build 251016 Rel.204554. Die Steckdosenleiste Tapo P300 v1.0 ist in zwei Regionen unterschiedlich gepatcht: EU ab 1.4.2 Build 251219 Rel.142654, Japan ab 1.4.0 Build 260416 Rel.014037. Und der Türklingelchime Tapo D100C v1.0 (EU/JP/US) braucht Firmware ab 1.3.1 Build 260421 Rel.031658.

Beim D100C lohnt ein zweiter Blick auf die Produktbeschreibung. Das Gerät ist kein eigenständiges Produkt im Regal, sondern wird mehreren Tapo-Türklingelkameras beigelegt: D130, D210, D235, D225, TD21, TDB21 und TD25. Wer eine dieser Kameras besitzt, hat den D100C vermutlich im Haus – und weiß es vielleicht nicht einmal.

Was ein Angreifer konkret tun müsste

Der CVSS-4.0-Score von 7.3 klassifiziert die Schwachstelle als hochriskant, setzt aber voraus, dass der Angreifer beim Einrichtungsvorgang in Bluetooth-Reichweite ist. Typische Bluetooth-LE-Reichweiten liegen je nach Umgebung zwischen 10 und 30 Metern. In Mehrfamilienhäusern, Bürogebäuden oder bei der Ersteinrichtung im Laden ist das eine realistische Angriffskulisse.

Mit günstiger Hardware und frei verfügbarer Software könnte ein Angreifer die unverschlüsselte Übertragung aufzeichnen. Im günstigsten Fall erhält er dabei Konfigurationsdaten und Authentifizierungsparameter; im schlimmsten Szenario kann er das Gerät während der Initialisierung direkt übernehmen. TP-Link und JPCERT/CC nennen neben dem passiven Abhören explizit auch Man-in-the-Middle-Angriffe als Angriffspfad, also das aktive Einklinken in die Kommunikation zum Manipulieren übertragener Daten.

Zu beachten: Die Bluetooth-Verbindung wird ausschließlich beim Ersteinrichten genutzt. Wer sein Gerät bereits seit Monaten betreibt, ist nicht laufend exponiert – nur beim nächsten Reset oder Neueinrichtungsvorgang öffnet sich das Zeitfenster wieder.

Das Update-Dilemma im Consumer-IoT

Die technische Lösung ist trivial: Firmware einspielen, fertig. Aber genau hier beginnt das eigentliche Problem. TP-Link stellt die Patches bereit – und setzt dabei auf manuelle Nutzeraktion. In der Tapo-App muss man das jeweilige Gerät auswählen, das Einstellungsmenü öffnen und explizit auf „Firmware-Update“ tippen. Beim D100C ist der Weg sogar noch indirekter, weil das Chime-Gerät nicht als eigenständiger Eintrag sichtbar ist, sondern über die zugehörige Kamera verwaltet wird.

Das ist kein TP-Link-spezifisches Problem. Es beschreibt einen strukturellen Graben im Consumer-IoT: Geräte in Millionen von Haushalten, deren Sicherheitsniveau davon abhängt, ob jemand aktiv in einer App nach Updates sucht. IoT-Glühbirnen sind keine Server, die eine IT-Abteilung überwacht. Sie hängen an der Decke und werden vergessen.

Automatische OTA-Updates wären die naheliegende Lösung – doch in der Consumer-IoT-Welt ist deren flächendeckende Umsetzung noch keine Selbstverständlichkeit, obwohl die Technologie längst existiert. Der Cyber Resilience Act der EU, der ab Ende 2027 für vernetzte Produkte verbindlich gilt, wird Hersteller zu stärkerem Sicherheitsmanagement über den gesamten Produktlebenszyklus verpflichten – bis dahin bleibt der Patch-Button in der App die einzige Antwort.

TP-Links wachsende Security-Advisory-Liste

CVE-2026-34126 steht nicht allein. Wer einen Blick auf TP-Links öffentliche Security-Advisory-Seite wirft, findet eine lange Liste aktueller Einträge: Archer-Router mit Authentication-Rate-Limiting-Problemen, Tapo-Kameras mit Command-Injection-Lücken, Steckdosenleisten mit Klartext-Credential-Speicherung. Das ist kein Zeichen besonderer Nachlässigkeit des Herstellers, denn TP-Link ist bei weitem nicht der einzige Anbieter mit solchen Listen. Es zeigt aber, wie breit die Angriffsfläche im Massenmarkt-IoT ist.

Gerade für kleine Unternehmen und Heimanwender, die Tapo-Geräte oft ohne jede Sicherheitsstrategie kaufen und betreiben, sind solche Meldungen keine abstrakten CVE-Nummern. Es sind konkrete Risiken in konkreten Steckdosen.

Was jetzt zu tun ist

Wer ein Tapo L535E, P300 oder D100C besitzt, sollte die Tapo-App öffnen und alle aufgelisteten Geräte auf verfügbare Firmware-Updates prüfen. Wer eine der genannten Türklingelkameras (D130, D210, D235, D225, TD21, TDB21, TD25) besitzt, sollte auch den beigelegten D100C-Chime überprüfen – er taucht unter dem Kameraeintrag im Einstellungsmenü auf.

Als Folgerung aus dem beschriebenen Angriffsszenario gilt außerdem: Wer Geräte in öffentlich zugänglichen Bereichen oder in Reichweite unbekannter Dritter einrichtet, sollte besonders darauf achten, dass der Firmware-Stand vorher aktuell ist.

Die Schwachstelle selbst ist, verglichen mit Remote-Code-Execution-Lücken oder Angriffsvektoren über das Internet, in ihrer Ausnutzbarkeit begrenzt. Sie braucht physische Nähe und einen günstigen Moment. Trotzdem illustriert sie ein Designprinzip, das im IoT-Bereich zu selten hinterfragt wird: Ersteinrichtungsprozesse sind sicherheitskritisch. Sie sind der Moment, in dem Geräte am verletzlichsten sind.