У умных розеток Wemo есть недостаток
Исследователи обнаружили брешь в системе безопасности старой версии Wemo Mini Smart Plug, связанную с изменением названия, и Belkin не собирается ее исправлять.
Wemo Mini Smart Plug разработан для удобного дистанционного управления освещением и основными приборами, такими как вентиляторные лампы, через мобильное приложение. Приложение использует Wi-Fi для связи и легко интегрируется с HomeKit и другими экосистемами умного дома.
Среди других функций приложение позволяет людям изменить имя устройства. Длина ограничена 30 символами или меньше, но только приложение применяет это правило.
Однако с помощью обратного проектирования специалисты по безопасности Sternum обнаружили способ обойти ограничение на количество символов, тем самым вызвав переполнение буфера. Впоследствии они назвали эту уязвимость «FriendlyName».
Переполнение буфера происходит, когда в область хранения (буфер) помещается слишком много информации, которую он не может обработать. Это как налить в чашку больше воды, чем она может вместить, и она переполнится.
Это может привести к неожиданным результатам в компьютерных системах, поскольку дополнительная информация может перезаписать или изменить близлежащие данные. Хакеры могут использовать переполнение буфера, чтобы получить несанкционированный доступ или вызвать сбои в работе компьютерной программы.
Доступ к прошивке
Исследователи из Sternum изучили прошивку смарт-штекера и использовали ее для изменения имени устройства на имя, длина которого превышала правило приложения, состоящее из 30 символов. Возникшее переполнение позволило им выдавать команды устройству и управлять им.
В руках злонамеренного хакера это может привести к краже данных или, возможно, управлению другими устройствами, подключенными к устройству Wemo.
Команда связалась с Belkin, чтобы сообщить компании о бреши в системе безопасности. Однако в Belkin заявили, что не будут устранять уязвимость, потому что срок службы Wemo Smart Plug V2 подходит к концу.
Текущая версия Wemo Smart Plug — 4.
Как защититься от «Friendlyname»
Стернум говорит, что люди, у которых есть один из этих разъемов, не должны подключать его к Интернету. Им также нельзя разрешать подключаться к конфиденциальным устройствам в домашней сети.
Учитывая отсутствие будущих обновлений для версии 2 устройства Wemo, есть также возможность изучить более новые альтернативы смарт-разъемам, если им нужна постоянная поддержка и улучшения.
