Wemo tidak akan memperbaiki kerentanan Sensible Plug yang memungkinkan pengoperasian jarak jauh

Memperbesar / Orang ini? Orang ini bisa ditipu untuk menawarkan distant management jika Anda memberinya nama yang panjang. Tapi dia terlalu tua untuk pembuatnya terlalu peduli tentang itu.

Saya pernah memiliki ruang kerja bersama. Ruangan itu memiliki pintu dengan kunci magnet, dibuka dengan relai bertenaga. Saya dan mitra saya menyadari bahwa, jika kami dapat menghidupkan dan mematikan sistem, kami dapat mengontrol kunci pintu dari jarak jauh. Salah satu dari kami memiliki steker Wemo generasi pertama, jadi kami menghubungkannya, dan kemudian pemrogram di antara kami menyiapkan skrip yang, meneruskan perintah Python melalui jaringan lokal, membuka dan menutup kunci pintu.

Kadang-kadang terpikir oleh saya bahwa agak aneh, tanpa otentikasi, Anda hanya bisa meneriakkan perintah Python di Wemo dan itu akan beralih. Saya memiliki perasaan yang sama hari ini tentang perangkat yang satu generasi lebih baru namun juga memiliki kekurangan yang deadly.

Perusahaan riset keamanan IoT Sternum telah menemukan (dan mengungkapkan) kerentanan buffer overflow di Wemo Mini Sensible Plug V2. Posting weblog perusahaan penuh dengan element menarik tentang cara kerja perangkat ini (dan tidak), tetapi kesimpulan utamanya adalah Anda dapat memicu buffer overflow dengan memberikan nama perangkat yang lebih panjang dari batas 30 karakternya—batas ditegakkan hanya oleh aplikasi Wemo sendiri—dengan alat pihak ketiga. Di dalam luapan itu Anda bisa menyuntikkan kode yang bisa dioperasikan. Jika Wemo Anda terhubung ke Web yang lebih luas, Wemo dapat disusupi dari jarak jauh.

Hal penting lainnya adalah bahwa pembuat Wemo Belkin mengatakan kepada Sternum bahwa ia tidak akan menambal kekurangan ini karena Mini Sensible Plug V2 “di akhir masa pakainya dan, akibatnya, kerentanan tidak akan ditangani.” Kami telah menghubungi Belkin untuk menanyakan apakah ada komentar atau pembaruan. Sternum menyatakan bahwa pihaknya memberi tahu Belkin pada 9 Januari, menerima tanggapan pada 22 Februari, dan mengungkap kerentanan pada 14 Maret.

Sternum menyarankan untuk menghindari pemaparan salah satu unit ini ke Web yang lebih luas, membaginya menjadi subnet yang jauh dari perangkat sensitif, jika memungkinkan. Namun, kerentanan dapat dipicu melalui antarmuka berbasis cloud Wemo.

Aplikasi komunitas yang memungkinkan kerentanan adalah pyWeMo (garpu terbaru dari versi yang digunakan di ruang kerja saya). Perangkat Wemo yang lebih baru menawarkan lebih banyak fitur, tetapi masih merespons perintah jaringan yang dikirim dari pyWeMo tanpa kata sandi atau autentikasi apa pun.

Perangkat Wemo Belkin telah menyebabkan sakit kepala keamanan rumah pintar sebelumnya. Pada Februari 2014, peneliti keamanan mengungkapkan bahwa perangkatnya membocorkan kata sandi melalui alur kerja pembaruan firmware; Belkin mengatakan telah menambal masalah dalam pembaruan firmware, meskipun tampaknya tidak memberi tahu peneliti pelaporan asli maupun US-CERT (sekarang Cybersecurity and Infrastructure Safety Company). Pada 2019, para peneliti melaporkan bahwa kerentanan yang dilaporkan satu tahun sebelum Belkin masih menjadi masalah.

Colokan rentan Wemo adalah beberapa yang paling populer dan sederhana yang tersedia, direkomendasikan oleh banyak pemandu rumah pintar dan tampaknya dibeli oleh ribuan pembeli, berdasarkan ulasan. Meskipun mereka memulai debutnya pada tahun 2019, mereka bukanlah smartphone atau pill. Empat tahun kemudian, orang tidak punya alasan kuat untuk menyingkirkannya sampai sekarang.

Saya memiliki pasangan di rumah saya yang melakukan hal-hal biasa seperti “nyalakan lampu senar di pegangan tangga saya saat matahari terbenam dan padam pada jam 10 malam” dan “nyalakan mesin derau putih ketika saya terlalu malas untuk bangun dari tempat tidur untuk melakukan itu.” Mereka akan aman dari eksekusi kode jarak jauh setelah diparut dan disortir menjadi logam komponen oleh fasilitas limbah elektronik regional saya.

Satu hal yang akan membantu perangkat Wemo keluar dari kerentanan yang terpapar Web dan kekurangan dukungan di akhir masa pakainya adalah menawarkan dukungan khusus lokal melalui Matter. Belkin, bagaimanapun, belum ingin terjun ke dukungan Matter, dengan mengatakan mungkin menawarkannya dalam produk Wemo setelah dapat “menemukan cara untuk membedakannya”. Orang mungkin berpendapat bahwa Belkin sekarang telah disajikan dengan setidaknya satu cara penting agar produknya di masa depan bisa berbeda.