Skip to main content

У умных розеток Wemo есть недостаток

Исследователи обнаружили брешь в системе безопасности старой версии Wemo Mini Smart Plug, связанную с изменением названия, и Belkin не собирается ее исправлять.

Wemo Mini Smart Plug разработан для удобного дистанционного управления освещением и основными приборами, такими как вентиляторные лампы, через мобильное приложение. Приложение использует Wi-Fi для связи и легко интегрируется с HomeKit и другими экосистемами умного дома.

Среди других функций приложение позволяет людям изменить имя устройства. Длина ограничена 30 символами или меньше, но только приложение применяет это правило.

Однако с помощью обратного проектирования специалисты по безопасности Sternum обнаружили способ обойти ограничение на количество символов, тем самым вызвав переполнение буфера. Впоследствии они назвали эту уязвимость «FriendlyName».

Переполнение буфера происходит, когда в область хранения (буфер) помещается слишком много информации, которую он не может обработать. Это как налить в чашку больше воды, чем она может вместить, и она переполнится.

Это может привести к неожиданным результатам в компьютерных системах, поскольку дополнительная информация может перезаписать или изменить близлежащие данные. Хакеры могут использовать переполнение буфера, чтобы получить несанкционированный доступ или вызвать сбои в работе компьютерной программы.

Доступ к прошивке

Доступ к прошивке

Исследователи из Sternum изучили прошивку смарт-штекера и использовали ее для изменения имени устройства на имя, длина которого превышала правило приложения, состоящее из 30 символов. Возникшее переполнение позволило им выдавать команды устройству и управлять им.

В руках злонамеренного хакера это может привести к краже данных или, возможно, управлению другими устройствами, подключенными к устройству Wemo.

Команда связалась с Belkin, чтобы сообщить компании о бреши в системе безопасности. Однако в Belkin заявили, что не будут устранять уязвимость, потому что срок службы Wemo Smart Plug V2 подходит к концу.

Текущая версия Wemo Smart Plug — 4.

Как защититься от «Friendlyname»

Стернум говорит, что люди, у которых есть один из этих разъемов, не должны подключать его к Интернету. Им также нельзя разрешать подключаться к конфиденциальным устройствам в домашней сети.

Учитывая отсутствие будущих обновлений для версии 2 устройства Wemo, есть также возможность изучить более новые альтернативы смарт-разъемам, если им нужна постоянная поддержка и улучшения.