Wemo non risolverà la vulnerabilità dello Smart Plug consentendo il funzionamento remoto

Kevin Purdy - 16 maggio 2023 20:35 UTC

Una volta ero comproprietario di uno spazio di coworking. Lo spazio aveva porte con serrature magnetiche, sbloccate da un relè alimentato. I miei soci e io ci siamo resi conto che, se potessimo accendere e spegnere il sistema, avremmo potuto controllare a distanza la serratura della porta. Uno di noi aveva una presa Wemo di prima generazione, quindi l'abbiamo collegata, e poi il programmatore tra noi ha impostato uno script che, passando i comandi Python sulla rete locale, apriva e chiudeva la serratura della porta.

A volte mi veniva in mente che era un po' strano che, senza autenticazione, potevi semplicemente gridare comandi Python a un Wemo e questo si attivava/disattivava. Oggi ho la stessa sensazione riguardo a un dispositivo che è di una generazione più recente e che tuttavia presenta anche difetti fatali.

La società di ricerca sulla sicurezza IoT Sternum ha scoperto (e divulgato) una vulnerabilità di buffer overflow nel Wemo Mini Smart Plug V2. Il post sul blog dell'azienda è pieno di dettagli interessanti su come funziona (e non funziona) questo dispositivo, ma un aspetto fondamentale è che puoi attivare in modo prevedibile un overflow del buffer passando al dispositivo un nome più lungo del limite di 30 caratteri: un limite applicati esclusivamente dalle app di Wemo, con strumenti di terze parti. All'interno di quell'overflow potresti iniettare codice utilizzabile. Se il tuo Wemo è connesso a Internet, potrebbe essere compromesso da remoto.

L'altro aspetto fondamentale è che il produttore di Wemo Belkin ha detto a Sternum che non avrebbe corretto questo difetto perché il Mini Smart Plug V2 è "alla fine della sua vita e, di conseguenza, la vulnerabilità non verrà risolta". Abbiamo contattato Belkin per chiedere se ha commenti o aggiornamenti. Sternum afferma di aver informato Belkin il 9 gennaio, di aver ricevuto una risposta il 22 febbraio e di aver rivelato la vulnerabilità il 14 marzo.

Sternum suggerisce di evitare l'esposizione di una qualsiasi di queste unità alla rete Internet più ampia, segmentandola in una sottorete lontana da dispositivi sensibili, se possibile. Tuttavia, una vulnerabilità potrebbe essere attivata tramite l'interfaccia basata su cloud di Wemo.

L'app della community che rende possibile la vulnerabilità è pyWeMo (un fork aggiornato della versione utilizzata nel mio spazio di coworking). I dispositivi Wemo più recenti offrono più funzionalità, ma rispondono comunque ai comandi di rete inviati da pyWeMo senza password o autenticazione.

Le prese vulnerabili di Wemo erano tra le più popolari e semplici disponibili, consigliate da molte guide per la casa intelligente e apparentemente acquistate da migliaia di acquirenti, in base alle recensioni. Sebbene abbiano debuttato nel 2019, non sono smartphone o tablet. Quattro anni dopo, fino ad ora la gente non aveva una buona ragione per sbarazzarsene.

Ho una coppia a casa mia che fa cose banali come "accendere le luci della ringhiera al tramonto e spegnerle alle 22" e "accendere la macchina del rumore bianco quando sono troppo pigro per alzarmi dal letto per fare Quello." Saranno protetti dall'esecuzione di codici in remoto una volta che saranno stati triturati e smistati in componenti metallici dal mio impianto regionale di rifiuti elettronici.

Una cosa che aiuterebbe i dispositivi Wemo a sfuggire alle vulnerabilità esposte a Internet e alle carenze di supporto al termine del ciclo di vita sarebbe offrire supporto solo locale tramite Matter. Belkin, tuttavia, non è ancora ansiosa di passare al supporto Matter, affermando che potrebbe offrirlo nei suoi prodotti Wemo una volta che riuscirà a "trovare un modo per differenziarli". Si potrebbe suggerire che a Belkin sia stato ora presentato almeno un modo notevole in cui i suoi prodotti futuri potrebbero essere diversi.