Wemo는 원격 작동을 허용하는 스마트 플러그 취약점을 수정하지 않습니다.
케빈 퍼디 - 2023년 5월 16일 오후 8:35 UTC
한때 코워킹 스페이스를 공동 소유한 적이 있었습니다. 그 공간에는 자석 자물쇠가 달린 문이 있었고, 전동 릴레이로 열 수 있었습니다. 나와 파트너는 시스템 전원을 켜고 끌 수 있으면 도어 잠금 장치를 원격으로 제어할 수 있다는 것을 깨달았습니다. 우리 중 한 명은 1세대 Wemo 플러그를 가지고 있어서 이를 연결했고, 우리 중 프로그래머는 로컬 네트워크를 통해 Python 명령을 전달하여 도어 잠금 장치를 열고 닫는 스크립트를 설정했습니다.
때때로 인증 없이 Wemo에서 Python 명령을 외치면 전환되는 것이 좀 이상하다는 생각이 들었습니다. 나는 오늘날 한 세대 더 최신이지만 치명적인 결함도 가지고 있는 장치에 대해 같은 느낌을 갖고 있습니다.
IoT 보안 연구 회사인 Sternum은 Wemo Mini Smart Plug V2에서 버퍼 오버플로 취약점을 발견(공개)했습니다. 회사의 블로그 게시물에는 이 장치가 작동하는 방식과 작동하지 않는 방식에 대한 흥미로운 세부 정보가 가득하지만, 중요한 점은 장치에 30자 제한보다 긴 이름을 전달하면 버퍼 오버플로를 예상할 수 있다는 것입니다. 타사 도구를 사용하여 Wemo 자체 앱에 의해서만 시행됩니다. 해당 오버플로 내부에 작동 가능한 코드를 삽입할 수 있습니다. Wemo가 더 넓은 인터넷에 연결되어 있으면 원격으로 손상될 수 있습니다.
또 다른 주요 시사점은 Wemo 제조사인 Belkin이 Sternum에게 Mini Smart Plug V2의 수명이 다해 결과적으로 취약점이 해결되지 않기 때문에 이 결함을 패치하지 않을 것이라고 말했다는 것입니다. Belkin에 연락하여 의견이나 업데이트가 있는지 문의했습니다. Sternum은 1월 9일에 Belkin에 통보했고, 2월 22일에 응답을 받았으며, 3월 14일에 취약점을 공개했다고 밝혔습니다.
Sternum은 이러한 장치가 더 넓은 인터넷에 노출되는 것을 피하고 가능하면 민감한 장치에서 떨어진 서브넷으로 분할할 것을 제안합니다. 그러나 Wemo의 클라우드 기반 인터페이스를 통해 취약점이 발생할 수 있습니다.
취약점을 가능하게 하는 커뮤니티 앱은 pyWeMo(내 공동 작업 공간에서 사용되는 버전의 업데이트된 포크)입니다. 최신 Wemo 장치는 더 많은 기능을 제공하지만 비밀번호나 인증 없이 pyWeMo에서 전송된 네트워크 명령에 여전히 응답합니다.
Wemo의 취약한 플러그는 가장 인기 있고 간단한 제품 중 하나였으며 많은 스마트 홈 가이드에서 권장했으며 리뷰에 따르면 수천 명의 구매자가 구매한 것으로 보입니다. 2019년에 데뷔했지만 스마트폰이나 태블릿이 아닙니다. 4년이 지난 지금까지도 사람들은 이를 없애야 할 타당한 이유가 없었습니다.
내 집에는 "해가 질 때 난간의 끈 조명을 켜고 오후 10시에 끄기", "너무 게으른 나머지 침대에서 일어나 할 수 없을 때 백색 소음 기계 켜기"와 같은 일상적인 일을 하는 부부가 있습니다. 저것." 지역 전자 폐기물 처리 시설에서 파쇄하고 구성 요소 금속으로 분류한 후에는 원격 코드 실행으로부터 안전할 것입니다.
Wemo의 장치가 인터넷에 노출된 취약성과 수명 종료 지원 부족을 피하는 데 도움이 되는 한 가지는 Matter를 통해 로컬 전용 지원을 제공하는 것입니다. 그러나 벨킨은 아직 Matter 지원에 뛰어들고 싶지 않다. 일단 Wemo 제품을 차별화할 수 있는 방법을 찾으면 Wemo 제품에 이를 제공할 수도 있다고 말했다. Belkin이 향후 제품이 달라질 수 있는 주목할 만한 방식을 적어도 한 가지 제시했다고 제안할 수도 있습니다.