Wemoはリモート操作を可能にするスマートプラグの脆弱性を修正しない

ケビン・パーディ - 2023 年 5 月 16 日午後 8 時 35 分 UTC

私はかつてコワーキングスペースを共同所有していたことがあります。 このスペースには磁気ロック付きのドアがあり、電力リレーによってロックが解除されました。 パートナーと私は、システムの電源をオン/オフに切り替えることができれば、ドア ロックを遠隔制御できることに気づきました。 私たちのうちの 1 人が第 1 世代の Wemo プラグを持っていたので、それを接続しました。その後、私たちの中のプログラマーが、ローカル ネットワーク経由で Python コマンドを渡して、ドア ロックの開閉を切り替えるスクリプトをセットアップしました。

時々、認証なしで Wemo に向かって Python コマンドを叫ぶだけで切り替わるのは、なんだか奇妙だと思うことがありました。 私は今日、一世代新しいものの致命的な欠陥を抱えたデバイスについて同じような感想を抱いています。

IoT セキュリティ調査会社 Sternum は、Wemo Mini Smart Plug V2 にバッファ オーバーフローの脆弱性を発見 (および公開) しました。 同社のブログ投稿には、このデバイスがどのように動作するか (および動作しないか) に関する興味深い詳細が満載されていますが、重要な点は、デバイスに 30 文字の制限 (制限) を超える名前を渡すことで、予想どおりにバッファ オーバーフローを引き起こすことができるということです。サードパーティのツールを使用して、Wemo 独自のアプリのみによって適用されます。 そのオーバーフロー内に、操作可能なコードを挿入できます。 Wemo がより広範なインターネットに接続されている場合、リモートから侵害される可能性があります。

もう 1 つの重要な点は、Wemo のメーカーである Belkin が Sternum に対し、Mini Smart Plug V2 は「寿命を迎えており、その結果として脆弱性は解決されない」ため、この欠陥にはパッチを適用しないだろうと語ったということです。 私たちは Belkin に連絡し、コメントや最新情報があるかどうか尋ねました。 Sternum は、1 月 9 日に Belkin に通知し、2 月 22 日に返答を受け取り、3 月 14 日に脆弱性を公表したと述べています。

スターナム氏は、これらのユニットをより広範なインターネットにさらすことを避け、可能であれば機密性の高いデバイスから離れたサブネットに分割することを提案しています。 ただし、Wemo のクラウドベースのインターフェイスを通じて脆弱性が引き起こされる可能性があります。

この脆弱性を可能にするコミュニティ アプリは pyWeMo (私のコワーキング スペースで使用されているバージョンの更新されたフォーク) です。 新しい Wemo デバイスはより多くの機能を提供しますが、パスワードや認証なしで pyWeMo から送信されたネットワーク コマンドに応答します。

Wemo の脆弱なプラグは、入手可能な中で最も人気がありシンプルなものの 1 つであり、多くのスマート ホーム ガイドで推奨され、レビューに基づいて何千人もの購入者が購入したようです。 2019 年にデビューしましたが、スマートフォンやタブレットではありません。 4年後、人々は今まで彼らを処分する正当な理由を持っていませんでした。

私の家には、「日没時に手すりのストリングライトをオンにし、午後10時にオフにする」「ベッドから起き上がるのが面倒なときにホワイトノイズマシンをオンにする」などの日常的なことをしているカップルがいますそれ。" これらは、私の地域の電子廃棄物施設によって細断され、コンポーネント金属に分別されると、リモートでのコード実行から保護されます。

Wemo のデバイスがインターネットにさらされた脆弱性やサポート終了後のサポート不足から逃れるのに役立つ 1 つは、Matter を通じてローカルのみのサポートを提供することです。 しかし、Belkin はまだ Matter サポートに乗り出すことに積極的ではなく、「差別化する方法を見つける」ことができれば Wemo 製品でそれを提供する可能性があると述べている。 Belkin は、将来の製品が異なる可能性がある少なくとも 1 つの注目すべき方法を提示されたと考える人もいるかもしれません。