Bir zamanlar bir ortak çalışma alanına ortak sahibiydim. Alanın, elektrikli bir röle tarafından kilitlenen manyetik kilitli kapıları vardı. Ortaklarım ve ben, sistemi açıp kapatabilirsek kapı kilidini uzaktan kontrol edebileceğimizi fark ettik. Birimizin birinci nesil bir Wemo fişi vardı, bu yüzden fişe taktık ve ardından aramızdaki programcı, yerel ağ üzerinden Python komutlarını ileterek kapıyı açan ve kilitleyen bir komut dosyası yaptı.
Bazen, kimlik doğrulama olmadan Wemo’ya sadece python komutları vermenizin ve Wemo’nun değişmesinin garip olduğu aklıma gelirdi. Bugün hala ölümcül kusurları olan yeni nesil bir cihaz hakkında aynı hislere sahibim.
Güvenlik araştırma şirketi IoT Sternum (açıklığa kavuşmuş) A Wemo Mini Smart Plug V2’de arabellek taşması sorunu. Şirketin blog yazısı, bu cihazın nasıl çalıştığı (ve nelerin çalışmadığı) hakkında ilginç ayrıntılarla dolu, ancak asıl çıkarım, 30 karakterlik sınırından daha uzun bir cihaz adı ileterek bir arabellek taşması bekleyebilirsiniz – bir sınır. yalnızca uygulamalar tarafından uygulanır. Wemo’nun sahibi — üçüncü taraf araçları kullanarak. Bu taşmanın içine oynanabilir bir kod girebilirsiniz. Wemo’nuz daha geniş bir internete bağlıysa, uzaktan saldırıya uğrayabilir.
Diğer önemli çıkarım, Wemo üreticisi Belkin’in Sternum’a, Mini Smart Plug V2’nin “ömrünün sonunda olduğu ve sonuç olarak güvenlik açığı giderilemeyeceği” için kusuru düzeltmeyeceğini söylemesidir. Yorumları veya güncellemeleri olup olmadığını sormak için Belkin’e ulaştık. Sternum, Belkin’i 9 Ocak’ta bilgilendirdiğini, 22 Şubat’ta yanıt aldığını ve güvenlik açığını 14 Mart’ta açıkladığını belirtti.
Sternum, bu birimlerin herhangi birinin daha geniş internete maruz kalmasını önlemeyi ve mümkünse hassas cihazlardan uzak bir alt ağ oluşturmayı önerir. Ancak güvenlik açığı, Wemo’nun bulut tabanlı arayüzü aracılığıyla tetiklenebilir.
Güvenlik açığını mümkün kılan topluluk uygulaması pyWeMo (Paylaşılan çalışma alanımda kullanılan sürümün güncellenmiş sürümü). Daha yeni Wemo cihazları daha fazla özellik sunar, ancak yine de pyWeMo’dan gönderilen ağ komutlarına herhangi bir parola veya kimlik doğrulaması olmadan yanıt verirler.
Belkin’in Wemo cihazları daha önce de akıllı ev güvenlik sorunlarına neden olmuştu. Şubat 2014’te güvenlik araştırmacıları, cihazlarının bir üretici yazılımı güncelleme iş akışı aracılığıyla şifreleri sızdırdığını ortaya çıkardı; Belkin, üretici yazılımı güncellemesindeki sorunları gerçekten düzelttiğini söyledi, ancak orijinal araştırmacıya veya US-CERT’ye (şimdi Siber Güvenlik ve Altyapı Güvenliği Ajansı) söylemedi. 2019’da araştırmacılar bir güvenlik açığı bildirdi Belkin tarafından bir yıl önce bildirildi o öyleydi Hala bir sorun.
Wemo’nun zayıf fişleri, birçok akıllı ev rehberi tarafından önerilen ve incelemelere göre binlerce alıcı tarafından satın alındığı anlaşılan mevcut en popüler ve basit fişlerden bazılarıydı. 2019’da çıkış yapmış olsalar da akıllı telefon veya tablet değiller. Dört yıl sonra, insanların henüz onlardan kurtulmak için çok az nedenleri vardı.
Evimde “gün batımında tırabzandaki ipli ışıkları açıp akşam 22’de söndürmek” ve “yataktan kalkamayacak kadar tembel olduğumda beyaz gürültü makinesini açmak” gibi sıradan şeyler yapan bir çiftim var. yap bunu.” Bölgesel e-atık tesisim tarafından parçalandıktan ve bileşen minerallerine ayrıldıktan sonra uzaktan kod yürütülmesine karşı güvende olacaktır.
Wemo cihazlarının internet güvenlik açıklarından ve kullanım ömrü sonu desteği eksikliğinden kurtulmasına yardımcı olacak şeylerden biri, yalnızca Matter aracılığıyla şirket içi destek sunmaktır. Ancak Belkin, Matter’ı “farklılaştırmanın bir yolunu bulduğunda” Wemo ürünlerinde sunabileceğini söyleyerek henüz Matter’ı desteklemeye hevesli değil. Belkin’in gelecekteki ürünlerinin farklı olabileceğine dair dikkate değer en az bir yol sunduğu öne sürülebilir.
“Kahve meraklısı. İçine kapanık. Gururlu problem çözücü. Kaşif. Arkadaş canlısı müzik tutkunu. Zombi inek.”
More Stories
Kara Cuma’nın erken saatlerinde en iyi iPad fırsatları
Apple, Vision Pro’nun iki ülkeye daha yayılacağını duyurdu
Android telefon kullanan çocuklar yakında Google Cüzdan’ın dokun-öde hizmetini kullanabilecek