Wemo não corrigirá vulnerabilidade do Smart Plug permitindo operação remota
Kevin Purdy - 16 de maio de 2023 20h35 UTC
Certa vez, fui coproprietário de um espaço de coworking. O espaço tinha portas com fechaduras magnéticas, destravadas por um relé alimentado. Meus parceiros e eu percebemos que, se pudéssemos ligar e desligar o sistema, poderíamos controlar remotamente a fechadura da porta. Um de nós tinha um plugue Wemo de primeira geração, então o conectamos e, em seguida, o programador entre nós configurou um script que, passando comandos Python pela rede local, abria e fechava a fechadura da porta.
Às vezes me ocorria que era meio estranho que, sem autenticação, você pudesse apenas gritar comandos Python em um Wemo e ele alternaria. Estou tendo o mesmo sentimento hoje sobre um dispositivo que é uma geração mais recente e ainda possui falhas fatais.
A empresa de pesquisa de segurança IoT Sternum descobriu (e divulgou) uma vulnerabilidade de estouro de buffer no Wemo Mini Smart Plug V2. A postagem do blog da empresa está cheia de detalhes interessantes sobre como esse dispositivo funciona (e não funciona), mas uma lição importante é que você pode acionar previsivelmente um estouro de buffer passando ao dispositivo um nome maior que seu limite de 30 caracteres - um limite aplicado exclusivamente pelos próprios aplicativos do Wemo - com ferramentas de terceiros. Dentro desse estouro, você pode injetar código operável. Se o seu Wemo estiver conectado à Internet mais ampla, ele poderá ser comprometido remotamente.
A outra conclusão importante é que a Belkin, fabricante do Wemo, disse à Sternum que não corrigiria essa falha porque o Mini Smart Plug V2 está "no fim de sua vida útil e, como resultado, a vulnerabilidade não será corrigida". Entramos em contato com a Belkin para perguntar se ela tem comentários ou atualizações. A Sternum afirma que notificou a Belkin em 9 de janeiro, recebeu uma resposta em 22 de fevereiro e divulgou a vulnerabilidade em 14 de março.
Sternum sugere evitar a exposição de qualquer uma dessas unidades à Internet mais ampla, segmentando-a em uma sub-rede longe de dispositivos sensíveis, se possível. Uma vulnerabilidade pode ser acionada por meio da interface baseada em nuvem do Wemo, no entanto.
O aplicativo da comunidade que possibilita a vulnerabilidade é o pyWeMo (um fork atualizado da versão usada no meu espaço de coworking). Os dispositivos Wemo mais recentes oferecem mais recursos, mas ainda respondem aos comandos de rede enviados do pyWeMo sem nenhuma senha ou autenticação.
Os plugues vulneráveis do Wemo foram alguns dos mais populares e simples disponíveis, recomendados por muitos guias de casa inteligente e aparentemente comprados por milhares de compradores, com base em avaliações. Embora tenham estreado em 2019, não são smartphones ou tablets. Quatro anos depois, as pessoas não tinham um bom motivo para se livrar deles até agora.
Eu tenho um casal em minha casa que faz coisas mundanas como "ligar as luzes do meu corrimão ao pôr do sol e desligar às 22h" e "ligar a máquina de ruído branco quando estou com preguiça de me levantar da cama para fazer que." Eles estarão protegidos contra execuções remotas de código assim que forem triturados e classificados em componentes metálicos por minha instalação regional de lixo eletrônico.
Uma coisa que ajudaria os dispositivos do Wemo a escapar de suas vulnerabilidades expostas à Internet e deficiências de suporte no fim da vida seria oferecer suporte apenas local por meio do Matter. A Belkin, no entanto, não está ansiosa para entrar no suporte ao Matter ainda, dizendo que pode oferecê-lo em seus produtos Wemo assim que puder "encontrar uma maneira de diferenciá-los". Pode-se sugerir que a Belkin já foi presenteada com pelo menos uma notável maneira pela qual seus futuros produtos poderiam ser diferentes.