Una vez fui copropietario de un espacio de coworking. El espacio tenía puertas con cerraduras magnéticas, desbloqueadas por un relé alimentado. Mis socios y yo nos dimos cuenta de que, si podíamos encender y apagar el sistema, podríamos controlar de forma remota la cerradura de la puerta. Uno de nosotros tenía un enchufe Wemo de primera generación, así que lo conectamos, y luego el programador entre nosotros configuró un script que, pasando los comandos de Python a través de la red local, abrió y cerró la cerradura de la puerta.
A veces se me ocurría que era un poco extraño que, sin autenticación, pudieras simplemente gritar comandos de Python en un Wemo y alternar. Tengo la misma sensación hoy sobre un dispositivo que es una generación más nuevo y, sin embargo, también posee fallas fatales.
La firma de investigación de seguridad de IoT, Sternum, descubrió (y reveló) una vulnerabilidad de desbordamiento de búfer en el Wemo Mini Smart Plug V2. La publicación del blog de la empresa está llena de detalles interesantes sobre cómo funciona este dispositivo (y no funciona), pero una conclusión clave es que, de manera predecible, puede desencadenar un desbordamiento de búfer pasando al dispositivo un nombre más largo que su límite de 30 caracteres: un límite aplicado únicamente por las propias aplicaciones de Wemo, con herramientas de terceros. Dentro de ese desbordamiento, podría inyectar código operable. Si su Wemo está conectado a Internet en general, podría verse comprometido de forma remota.
La otra conclusión clave es que el fabricante de Wemo, Belkin, le dijo a Sternum que no repararía esta falla porque el Mini Smart Plug V2 está «al final de su vida útil y, como resultado, la vulnerabilidad no se abordará». Nos comunicamos con Belkin para preguntarle si tiene comentarios o actualizaciones. Sternum afirma que notificó a Belkin el 9 de enero, recibió una respuesta el 22 de febrero y reveló la vulnerabilidad el 14 de marzo.
Sternum sugiere evitar la exposición de cualquiera de estas unidades a Internet en general, segmentándola en una subred lejos de los dispositivos sensibles, si es posible. Sin embargo, se podría desencadenar una vulnerabilidad a través de la interfaz basada en la nube de Wemo.
La aplicación comunitaria que hace posible la vulnerabilidad es pyWeMo (una bifurcación actualizada de la versión utilizada en mi espacio de coworking). Los dispositivos Wemo más nuevos ofrecen más funciones, pero aún responden a los comandos de red enviados desde pyWeMo sin ninguna contraseña o autenticación.
Los dispositivos Wemo de Belkin han causado dolores de cabeza en la seguridad del hogar inteligente antes. En febrero de 2014, los investigadores de seguridad revelaron que sus dispositivos filtraron contraseñas a través de un flujo de trabajo de actualización de firmware; Belkin dijo que ya había solucionado los problemas en una actualización de firmware, aunque aparentemente no se lo dijo al investigador original ni al US-CERT (ahora Agencia de Seguridad de Infraestructura y Ciberseguridad). En 2019, los investigadores informaron que una vulnerabilidad reportada un año antes de Belkin seguía siendo un problema.
Los enchufes vulnerables de Wemo fueron algunos de los más populares y simples disponibles, recomendados por muchas guías de hogares inteligentes y aparentemente comprados por miles de compradores, según las reseñas. Si bien debutaron en 2019, no son teléfonos inteligentes ni tabletas. Cuatro años después, la gente no tenía una buena razón para deshacerse de ellos hasta ahora.
Tengo una pareja en mi casa que hace cosas mundanas como «encender las luces de mi barandilla al atardecer y apagarlas a las 10 p. m.» y «encender la máquina de ruido blanco cuando soy demasiado vago para levantarme de la cama eso.» Estarán a salvo de ejecuciones remotas de código una vez que mi instalación regional de desechos electrónicos los haya triturado y clasificado en componentes metálicos.
Una cosa que ayudaría a los dispositivos de Wemo a escapar de sus vulnerabilidades expuestas a Internet y las deficiencias de soporte al final de su vida útil sería ofrecer soporte solo local a través de Matter. Belkin, sin embargo, no está ansioso por saltar al soporte de Matter todavía, y dice que puede ofrecerlo en sus productos Wemo una vez que pueda «encontrar una manera de diferenciarlos». Se podría sugerir que a Belkin ahora se le ha presentado al menos una forma notable en que sus futuros productos podrían ser diferentes.