Wemo не будет исправлять уязвимость Smart Plug, позволяющую удаленное воспроизведение — Ars Technica
Когда-то я был совладельцем коворкинга. В помещении были двери с магнитными замками, запертыми силовым реле. Мои партнеры и я поняли, что если бы мы могли включать и выключать систему, мы могли бы управлять дверным замком удаленно. У одного из нас был плагин Wemo первого поколения, поэтому мы подключили его, а затем программист между нами сделал скрипт, который, передавая команды Python по локальной сети, открывал и закрывал дверь.
Иногда мне приходило в голову, что это странно, что без аутентификации вы можете просто выкрикивать команды Python в Wemo, и он переключается. Сегодня у меня такое же чувство по поводу устройства нового поколения, в котором все еще есть фатальные недостатки.
Исследовательская компания по безопасности IoT Sternum (раскрытый) а Проблема переполнения буфера в Wemo Mini Smart Plug V2. Сообщение в блоге компании полно интересных подробностей о том, как это устройство работает (и что оно не работает), но главный вывод заключается в том, что вы можете ожидать переполнения буфера, передавая имя устройства длиннее его 30-символьного ограничения — ограничение только с помощью приложений. Собственные Wemo — с помощью сторонних инструментов. Внутри этого переполнения вы можете ввести играбельный код. Если ваш Wemo подключен к более широкому Интернету, его можно взломать удаленно.
Другим важным выводом является то, что производитель Wemo Belkin сказал Sternum, что не будет исправлять недостаток, потому что Mini Smart Plug V2 «находится в конце своего срока службы, и, как следствие, уязвимость не будет устранена». Мы связались с Belkin, чтобы узнать, есть ли у них комментарии или обновления. Sternum заявила, что уведомила Belkin 9 января, получила ответ 22 февраля и раскрыла уязвимость 14 марта.
Sternum предлагает избегать доступа любого из этих устройств к более широкому Интернету и по возможности размещать их в подсетях вдали от чувствительных устройств. Однако уязвимость может быть запущена через облачный интерфейс Wemo.
Приложение сообщества, которое делает возможной уязвимость, pyWeMo (Обновленная версия версии, используемой в моем общем рабочем пространстве). Более новые устройства Wemo предлагают больше функций, но они по-прежнему реагируют на сетевые команды, отправленные из pyWeMo, без пароля или аутентификации.
Устройства Belkin Wemo и раньше вызывали проблемы с безопасностью умного дома. В феврале 2014 года исследователи безопасности обнаружили, что на их устройствах произошла утечка паролей в процессе обновления прошивки; Белкин сказал, что действительно исправил проблемы в обновлении прошивки, хотя не сообщил об этом первоначальному исследователю или US-CERT (теперь Агентство по кибербезопасности и безопасности инфраструктуры). В 2019 году исследователи сообщили об уязвимости системы безопасности. Сообщил год назад Белкин Он был Все еще проблема.
Слабые вилки Wemo были одними из самых популярных и простых доступных вилок, рекомендованных многими руководствами по умному дому и, судя по отзывам, купленными тысячами покупателей. Хотя они дебютировали в 2019 году, это не смартфоны и не планшеты. Четыре года спустя у людей еще не было причин избавляться от них.
В моем доме есть пара, которые занимаются рутинными делами вроде «включают гирлянды на перилах на закате и выключают их в 10 вечера» и «включают машину белого шума, когда мне лень вставать с постели, чтобы послушать». сделай это.” Он будет защищен от удаленного выполнения кода после того, как он будет измельчен и рассортирован на полезные ископаемые моим региональным предприятием по переработке электронных отходов.
Одна из вещей, которая поможет устройствам Wemo избежать уязвимостей в Интернете и отсутствия поддержки по окончании срока службы, — это предложить локальную поддержку только через Matter. Тем не менее, Belkin пока не заинтересована в поддержке Matter, заявив, что может предложить ее в продуктах Wemo, как только сможет «найти способ выделить ее». Можно предположить, что Belkin представила по крайней мере один заметный способ, которым ее будущие продукты могут отличаться.
«Профессиональный интернет-практик. Знаток путешествий. Гордый исследователь. Главный зомби-первопроходец».