Wemo wird die Smart Plug-Schwachstelle nicht beheben, die den Remote-Betrieb ermöglicht
Kevin Purdy – 16. Mai 2023, 20:35 Uhr UTC
Ich war einmal Miteigentümer eines Coworking Spaces. Der Raum hatte Türen mit Magnetschlössern, die durch ein angetriebenes Relais entriegelt wurden. Meine Partner und ich erkannten, dass wir das Türschloss fernsteuern könnten, wenn wir die Stromversorgung des Systems ein- und ausschalten könnten. Einer von uns hatte einen Wemo-Stecker der ersten Generation, also haben wir ihn angeschlossen, und dann hat der Programmierer unter uns ein Skript erstellt, das durch die Weiterleitung von Python-Befehlen über das lokale Netzwerk das Türschloss öffnet und schließt.
Manchmal kam mir der Gedanke, dass es irgendwie seltsam war, dass man einem Wemo ohne Authentifizierung einfach Python-Befehle zurufen konnte und es umschaltete. Ich habe heute das gleiche Gefühl bei einem Gerät, das eine Generation neuer ist und dennoch fatale Mängel aufweist.
Das IoT-Sicherheitsforschungsunternehmen Sternum hat eine Pufferüberlauf-Schwachstelle im Wemo Mini Smart Plug V2 entdeckt (und offengelegt). Der Blog-Beitrag des Unternehmens enthält viele interessante Details darüber, wie dieses Gerät funktioniert (und wie es nicht funktioniert), aber eine wichtige Erkenntnis ist, dass Sie vorhersehbar einen Pufferüberlauf auslösen können, indem Sie dem Gerät einen Namen übergeben, der länger ist als die 30-Zeichen-Grenze – eine Grenze wird ausschließlich durch Wemos eigene Apps durchgesetzt – mit Tools von Drittanbietern. Innerhalb dieses Überlaufs könnten Sie funktionsfähigen Code einfügen. Wenn Ihr Wemo mit dem Internet verbunden ist, könnte es aus der Ferne kompromittiert werden.
Die andere wichtige Erkenntnis ist, dass der Wemo-Hersteller Belkin Sternum mitgeteilt hat, dass er diesen Fehler nicht beheben werde, da der Mini Smart Plug V2 „am Ende seiner Lebensdauer ist und die Schwachstelle daher nicht behoben wird“. Wir haben Belkin kontaktiert und gefragt, ob es Kommentare oder Aktualisierungen gibt. Sternum gibt an, Belkin am 9. Januar benachrichtigt zu haben, am 22. Februar eine Antwort erhalten zu haben und die Sicherheitslücke am 14. März offengelegt zu haben.
Sternum schlägt vor, die Gefährdung dieser Geräte durch das Internet zu vermeiden und sie nach Möglichkeit in ein Subnetz abseits sensibler Geräte zu segmentieren. Über die cloudbasierte Schnittstelle von Wemo könnte jedoch eine Sicherheitslücke ausgelöst werden.
Die Community-App, die die Sicherheitslücke ermöglicht, ist pyWeMo (ein aktualisierter Fork der Version, die in meinem Coworking Space verwendet wird). Neuere Wemo-Geräte bieten mehr Funktionen, reagieren aber immer noch auf von pyWeMo gesendete Netzwerkbefehle ohne Passwort oder Authentifizierung.
Die anfälligen Stecker von Wemo gehörten zu den beliebtesten und einfachsten auf dem Markt, wurden von vielen Smart-Home-Ratgebern empfohlen und laut Bewertungen anscheinend von Tausenden von Käufern gekauft. Obwohl sie 2019 auf den Markt kamen, handelt es sich nicht um Smartphones oder Tablets. Vier Jahre später gab es bis heute keinen guten Grund, sie loszuwerden.
Ich habe ein Paar bei mir zu Hause, das alltägliche Dinge erledigt, wie zum Beispiel „die Lichterketten an meinem Treppengeländer bei Sonnenuntergang ein- und um 22 Uhr ausschalten“ und „das Gerät mit weißem Rauschen einschalten, wenn ich zu faul bin, dafür aus dem Bett aufzustehen.“ Das." Sobald sie von meiner regionalen Elektroschrottanlage geschreddert und nach Metallbestandteilen sortiert wurden, sind sie vor der Ausführung von Code aus der Ferne geschützt.
Eine Sache, die den Geräten von Wemo helfen würde, ihre durch das Internet gefährdeten Schwachstellen und End-of-Life-Supportdefizite zu umgehen, wäre die Bereitstellung von ausschließlich lokalem Support über Matter. Belkin ist jedoch noch nicht bereit, in den Matter-Support einzusteigen, und sagt, dass es ihn möglicherweise in seinen Wemo-Produkten anbieten wird, sobald es „einen Weg gefunden hat, sie zu differenzieren“. Man könnte vermuten, dass Belkin nun zumindest eine bemerkenswerte Möglichkeit präsentiert wurde, wie seine zukünftigen Produkte anders sein könnten.