Wemo Smart Plugs haben einen Fehler
Forscher haben in einer älteren Version des Wemo Mini Smart Plug eine Sicherheitslücke gefunden, die eine Namensänderung mit sich brachte – und Belkin wird sie nicht beheben.
Der Wemo Mini Smart Plug ermöglicht die bequeme Fernsteuerung von Lichtern und Grundgeräten, wie z. B. Ventilatorlampen, über eine mobile App. Die Anwendung nutzt WLAN für die Kommunikation und lässt sich nahtlos in HomeKit und andere Smart-Home-Ökosysteme integrieren.
Neben anderen Funktionen bietet die App die Möglichkeit, den Gerätenamen zu ändern. Die Länge ist auf 30 Zeichen oder weniger begrenzt, aber nur die App erzwingt diese Regel.
Allerdings konnten die Sicherheitsexperten von Sternum durch Reverse Engineering entdeckte eine Methode zur Umgehung der Zeichenbeschränkung und löste dadurch einen Pufferüberlauf aus. Anschließend nannten sie diese Schwachstelle „FriendlyName“.
Ein Pufferüberlauf tritt auf, wenn in einem Speicherbereich (Puffer) zu viele Informationen abgelegt werden, die nicht verarbeitet werden können. Es ist, als würde man mehr Wasser in eine Tasse gießen, als sie fassen kann, sodass sie überläuft.
Dies kann zu unerwarteten Ergebnissen in Computersystemen führen, da die zusätzlichen Informationen benachbarte Daten überschreiben oder ändern können. Hacker können einen Pufferüberlauf nutzen, um sich unbefugten Zugriff zu verschaffen oder Fehlfunktionen in einem Computerprogramm zu verursachen.
Zugriff auf die Firmware
Die Forscher von Sternum untersuchten die Firmware des Smart Plugs und änderten damit den Namen des Geräts in einen Namen, der länger als die in der App festgelegte Regel von 30 Zeichen war. Der resultierende Überlauf ermöglichte es ihnen, Befehle an das Gerät zu erteilen und es zu steuern.
In den Händen eines böswilligen Hackers könnte dies zu Datendiebstahl oder möglicherweise zur Kontrolle anderer an das Wemo-Gerät angeschlossener Geräte führen.
Das Team kontaktierte Belkin, um das Unternehmen über die Sicherheitslücke zu informieren. Allerdings sagte Belkin, dass man die Schwachstelle nicht beheben werde, da der Wemo Smart Plug V2 das Ende seiner Lebensdauer erreicht habe.
Der aktuelle Wemo Smart Plug ist Version 4.
So schützen Sie sich vor „Friendlyname“
Sternum sagt Leute, die es besitzen Einer dieser Stecker sollte sie nicht mit dem Internet verbinden. Außerdem sollte es ihnen nicht gestattet sein, sich mit sensiblen Geräten in einem Heimnetzwerk zu verbinden.
Angesichts des Mangels an zukünftigen Updates für Version 2 des Wemo-Geräts besteht auch die Möglichkeit, neuere Smart-Plug-Alternativen zu erkunden, wenn sie fortlaufenden Support und Verbesserungen wünschen.
