A Wemo Smart Plug-nak van egy hibája
A kutatók biztonsági hibát találtak a Wemo Mini Smart Plug egy régebbi verziójában, ami a nevének megváltoztatásával járt – és a Belkin nem fogja kijavítani.
A Wemo Mini Smart Plug úgy lett kialakítva, hogy kényelmes távvezérlést biztosítson a lámpákhoz és az alapvető készülékekhez, például a ventilátorlámpákhoz egy mobilalkalmazáson keresztül. Az alkalmazás Wi-Fi-t használ a kommunikációhoz, és zökkenőmentesen integrálódik a HomeKittel és más intelligens otthoni ökoszisztémákkal.
Egyéb funkciók mellett az alkalmazás lehetővé teszi az eszköz nevének megváltoztatását. A hossza legfeljebb 30 karakter lehet, de csak az alkalmazás érvényesíti ezt a szabályt.
A visszafejtés révén azonban a Sternum biztonsági szakértői felfedezett egy módszert a karakterkorlát megkerülésére, ami puffertúlcsordulást vált ki. Ezt a sérülékenységet később”FriendlyName”-nek nevezték el.
A puffer túlcsordulása akkor történik, ha túl sok információ van egy tárolóterületen (pufferben), amelyet nem tud kezelni. Olyan ez, mintha több vizet öntenénk egy csészébe, mint amennyi elfér, és túlcsordul.
Ez váratlan eredményekhez vezethet a számítógépes rendszerekben, mivel az extra információk felülírhatják vagy megváltoztathatják a közeli adatokat. A hackerek puffertúlcsordulást használhatnak arra, hogy jogosulatlan hozzáférést szerezzenek, vagy hibás működést okozzanak egy számítógépes programban.
A firmware elérése
A Sternum kutatói megvizsgálták az intelligens csatlakozó firmware-jét, és ennek segítségével megváltoztatták az eszköz nevét olyanra, amely hosszabb, mint az alkalmazás 30 karakteres szabálya. Az így létrejövő túlcsordulás lehetővé tette számukra, hogy parancsokat adjanak ki az eszköznek és irányítsák azt.
Egy rosszindulatú hacker kezében ez adatlopáshoz vagy a Wemo eszközhöz csatlakoztatott egyéb eszközök vezérléséhez vezethet.
A csapat felvette a kapcsolatot a Belkinnel, hogy tájékoztassa a céget a biztonsági hibáról. Belkin azonban azt mondta, hogy nem javítja ki a biztonsági rést, mert a Wemo Smart Plug V2 élettartama végén jár.
A jelenlegi Wemo Smart Plug 4-es verziója.
Hogyan védekezhet a”Friendlyname”ellen?
A Sternum szerint azok, akik az egyik ilyen dugó nem csatlakoztathatja őket az internethez. Azt sem szabad megengedni nekik, hogy otthoni hálózaton érzékeny eszközökhöz csatlakozzanak.
Tekintettel arra, hogy a Wemo készülék 2-es verziójához nem készülnek frissítések, lehetőség van újabb intelligens csatlakozóalternatívák felfedezésére is, ha folyamatos támogatásra és fejlesztésekre vágynak.