Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Wemo ne corrigera pas la vulnérabilité Smart Plug permettant un fonctionnement à distance
Kevin Purdy - 16 mai 2023 20h35 UTC
J'ai déjà été copropriétaire d'un espace de coworking. L'espace avait des portes avec des serrures magnétiques, déverrouillées par un relais alimenté. Mes partenaires et moi avons réalisé que si nous pouvions allumer et éteindre le système, nous pouvions contrôler à distance la serrure de la porte. L'un de nous avait une prise Wemo de première génération, nous l'avons donc branchée, puis le programmeur parmi nous a mis en place un script qui, en passant des commandes Python sur le réseau local, a ouvert et fermé le verrou de la porte.
Parfois, il me venait à l'esprit que c'était un peu bizarre que, sans authentification, vous puissiez simplement crier des commandes Python à un Wemo et cela basculerait. J'ai le même sentiment aujourd'hui à propos d'un appareil qui est d'une génération plus récent et qui possède pourtant des défauts fatals.
La société de recherche en sécurité IoT Sternum a découvert (et divulgué) une vulnérabilité de débordement de mémoire tampon dans la Wemo Mini Smart Plug V2. Le billet de blog de l'entreprise regorge de détails intéressants sur le fonctionnement de cet appareil (et ne le fait pas), mais un élément clé à retenir est que vous pouvez déclencher de manière prévisible un débordement de mémoire tampon en donnant à l'appareil un nom plus long que sa limite de 30 caractères - une limite appliquée uniquement par les propres applications de Wemo - avec des outils tiers. À l'intérieur de ce débordement, vous pouvez injecter du code utilisable. Si votre Wemo est connecté à Internet plus large, il pourrait être compromis à distance.
L'autre élément clé à retenir est que le fabricant de Wemo, Belkin, a déclaré à Sternum qu'il ne corrigerait pas cette faille car la Mini Smart Plug V2 est "en fin de vie et, par conséquent, la vulnérabilité ne sera pas corrigée". Nous avons contacté Belkin pour lui demander s'il avait des commentaires ou des mises à jour. Sternum déclare avoir informé Belkin le 9 janvier, reçu une réponse le 22 février et divulgué la vulnérabilité le 14 mars.
Sternum suggère d'éviter l'exposition de l'une de ces unités à l'Internet au sens large, en le segmentant dans un sous-réseau éloigné des appareils sensibles, si possible. Cependant, une vulnérabilité pourrait être déclenchée via l'interface basée sur le cloud de Wemo.
L'application communautaire qui rend la vulnérabilité possible est pyWeMo (un fork mis à jour de la version utilisée dans mon espace de coworking). Les nouveaux appareils Wemo offrent plus de fonctionnalités, mais ils répondent toujours aux commandes réseau envoyées par pyWeMo sans mot de passe ni authentification.
Les prises vulnérables de Wemo étaient parmi les plus populaires et les plus simples disponibles, recommandées par de nombreux guides de maison intelligente et apparemment achetées par des milliers d'acheteurs, sur la base de critiques. Bien qu'ils aient fait leurs débuts en 2019, ce ne sont pas des smartphones ou des tablettes. Quatre ans plus tard, les gens n'avaient pas de bonne raison de s'en débarrasser jusqu'à maintenant.
J'ai un couple chez moi qui fait des choses banales comme "allumer les guirlandes lumineuses de ma rampe au coucher du soleil et les éteindre à 22 heures" et "allumer la machine à bruit blanc quand je suis trop paresseux pour me lever du lit pour faire ça". Ils seront à l'abri des exécutions de code à distance une fois qu'ils auront été déchiquetés et triés en composants métalliques par mon installation régionale de gestion des déchets électroniques.
Une chose qui aiderait les appareils de Wemo à échapper à leurs vulnérabilités exposées à Internet et aux lacunes du support de fin de vie serait d'offrir un support local uniquement via Matter. Belkin, cependant, n'est pas encore impatient de se lancer dans le support Matter, affirmant qu'il pourrait l'offrir dans ses produits Wemo une fois qu'il pourra "trouver un moyen de les différencier". On pourrait suggérer que Belkin a maintenant été présenté avec au moins une façon notable dont ses futurs produits pourraient être différents.