\n<\/aside>\n<\/p>\n
Una vez fui copropietario de un espacio de coworking. El espacio ten\u00eda puertas con cerraduras magn\u00e9ticas, desbloqueadas por un rel\u00e9 alimentado. Mis socios y yo nos dimos cuenta de que, si pod\u00edamos encender y apagar el sistema, podr\u00edamos controlar de forma remota la cerradura de la puerta. Uno de nosotros ten\u00eda un enchufe Wemo de primera generaci\u00f3n, as\u00ed que lo conectamos, y luego el programador entre nosotros configur\u00f3 un script que, pasando los comandos de Python a trav\u00e9s de la red local, abri\u00f3 y cerr\u00f3 la cerradura de la puerta.<\/p>\n
A veces se me ocurr\u00eda que era un poco extra\u00f1o que, sin autenticaci\u00f3n, pudieras simplemente gritar comandos de Python en un Wemo y alternar. Tengo la misma sensaci\u00f3n hoy sobre un dispositivo que es una generaci\u00f3n m\u00e1s nuevo y, sin embargo, tambi\u00e9n posee fallas fatales.<\/p>\n
La firma de investigaci\u00f3n de seguridad de IoT, Sternum, descubri\u00f3 (y revel\u00f3) una vulnerabilidad de desbordamiento de b\u00fafer en el Wemo Mini Smart Plug V2. La publicaci\u00f3n del blog de la empresa est\u00e1 llena de detalles interesantes sobre c\u00f3mo funciona este dispositivo (y no funciona), pero una conclusi\u00f3n clave es que, de manera predecible, puede desencadenar un desbordamiento de b\u00fafer pasando al dispositivo un nombre m\u00e1s largo que su l\u00edmite de 30 caracteres: un l\u00edmite aplicado \u00fanicamente por las propias aplicaciones de Wemo, con herramientas de terceros. Dentro de ese desbordamiento, podr\u00eda inyectar c\u00f3digo operable. Si su Wemo est\u00e1 conectado a Internet en general, podr\u00eda verse comprometido de forma remota.<\/p>\n
La otra conclusi\u00f3n clave es que el fabricante de Wemo, Belkin, le dijo a Sternum que no reparar\u00eda esta falla porque el Mini Smart Plug V2 est\u00e1 \u00abal final de su vida \u00fatil y, como resultado, la vulnerabilidad no se abordar\u00e1\u00bb. Nos comunicamos con Belkin para preguntarle si tiene comentarios o actualizaciones. Sternum afirma que notific\u00f3 a Belkin el 9 de enero, recibi\u00f3 una respuesta el 22 de febrero y revel\u00f3 la vulnerabilidad el 14 de marzo.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nSternum sugiere evitar la exposici\u00f3n de cualquiera de estas unidades a Internet en general, segment\u00e1ndola en una subred lejos de los dispositivos sensibles, si es posible. Sin embargo, se podr\u00eda desencadenar una vulnerabilidad a trav\u00e9s de la interfaz basada en la nube de Wemo.<\/p>\n
La aplicaci\u00f3n comunitaria que hace posible la vulnerabilidad es pyWeMo (una bifurcaci\u00f3n actualizada de la versi\u00f3n utilizada en mi espacio de coworking). Los dispositivos Wemo m\u00e1s nuevos ofrecen m\u00e1s funciones, pero a\u00fan responden a los comandos de red enviados desde pyWeMo sin ninguna contrase\u00f1a o autenticaci\u00f3n.<\/p>\n
Los dispositivos Wemo de Belkin han causado dolores de cabeza en la seguridad del hogar inteligente antes. En febrero de 2014, los investigadores de seguridad revelaron que sus dispositivos filtraron contrase\u00f1as a trav\u00e9s de un flujo de trabajo de actualizaci\u00f3n de firmware; Belkin dijo que ya hab\u00eda solucionado los problemas en una actualizaci\u00f3n de firmware, aunque aparentemente no se lo dijo al investigador original ni al US-CERT (ahora Agencia de Seguridad de Infraestructura y Ciberseguridad). En 2019, los investigadores informaron que una vulnerabilidad reportada un a\u00f1o antes de Belkin segu\u00eda siendo un problema.<\/p>\n
Los enchufes vulnerables de Wemo fueron algunos de los m\u00e1s populares y simples disponibles, recomendados por muchas gu\u00edas de hogares inteligentes y aparentemente comprados por miles de compradores, seg\u00fan las rese\u00f1as. Si bien debutaron en 2019, no son tel\u00e9fonos inteligentes ni tabletas. Cuatro a\u00f1os despu\u00e9s, la gente no ten\u00eda una buena raz\u00f3n para deshacerse de ellos hasta ahora.<\/p>\n
Tengo una pareja en mi casa que hace cosas mundanas como \u00abencender las luces de mi barandilla al atardecer y apagarlas a las 10 p. m.\u00bb y \u00abencender la m\u00e1quina de ruido blanco cuando soy demasiado vago para levantarme de la cama eso.\u00bb Estar\u00e1n a salvo de ejecuciones remotas de c\u00f3digo una vez que mi instalaci\u00f3n regional de desechos electr\u00f3nicos los haya triturado y clasificado en componentes met\u00e1licos.<\/p>\n
Una cosa que ayudar\u00eda a los dispositivos de Wemo a escapar de sus vulnerabilidades expuestas a Internet y las deficiencias de soporte al final de su vida \u00fatil ser\u00eda ofrecer soporte solo local a trav\u00e9s de Matter. Belkin, sin embargo, no est\u00e1 ansioso por saltar al soporte de Matter todav\u00eda, y dice que puede ofrecerlo en sus productos Wemo una vez que pueda \u00abencontrar una manera de diferenciarlos\u00bb. Se podr\u00eda sugerir que a Belkin ahora se le ha presentado al menos una forma notable en que sus futuros productos podr\u00edan ser diferentes.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Agrandar \/ \u00bfEste chico? Este tipo puede ser enga\u00f1ado para que ofrezca control remoto si le das un nombre largo. Pero es demasiado viejo para que su creador se preocupe…<\/p>\n","protected":false},"author":1,"featured_media":632204,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[966,1136,32208,33501,17431,18400,31323,30297],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/632203"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=632203"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/632203\/revisions"}],"predecessor-version":[{"id":632205,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/632203\/revisions\/632205"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/632204"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=632203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=632203"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=632203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}