アンドリュー・オール
· 1分で読めます
Wemoスマートプラグには欠陥がある
研究者らは、Wemo Mini Smart Plug の旧バージョンに、名前の変更に関わるセキュリティ上の欠陥を発見したが、Belkin はこれを修正する予定はない。
Wemo Miniスマートプラグは、モバイルアプリから照明やファンランプなどの基本的な家電製品を便利にリモートコントロールできるように設計されています。このアプリはWi-Fi通信を利用し、HomeKitなどのスマートホームエコシステムとシームレスに連携します。
このアプリには、デバイス名を変更できる機能がいくつかあります。デバイス名は30文字以内という制限がありますが、このルールを強制適用するのはアプリ側のみです。
しかし、リバースエンジニアリングによって、Sternumのセキュリティ専門家は文字数制限を回避し、バッファオーバーフローを引き起こす方法を発見しました。彼らはその後、この脆弱性を「FriendlyName」と名付けました。
バッファオーバーフローは、記憶領域(バッファ)に処理できないほど多くの情報が書き込まれたときに発生します。これは、カップに収容できる量を超える水を注ぎ、あふれさせてしまうようなものです。
バッファオーバーフローは、追加情報によって近くのデータが上書きまたは変更される可能性があるため、コンピュータシステムに予期せぬ結果をもたらす可能性があります。ハッカーはバッファオーバーフローを利用して不正アクセスを行ったり、コンピュータプログラムの誤動作を引き起こしたりすることができます。
ファームウェアへのアクセス
Sternumの研究者たちはスマートプラグのファームウェアを調査し、それを用いてデバイス名をアプリの30文字という制限を超える長さに変更しました。その結果生じたオーバーフローにより、研究者たちはデバイスにコマンドを発行し、制御することができました。
悪意のあるハッカーの手に渡れば、データの盗難や、Wemo デバイスに接続されている他のデバイスの制御につながる可能性があります。
チームはベルキン社に連絡を取り、セキュリティ上の欠陥について報告しました。しかし、ベルキン社はWemoスマートプラグV2の生産終了に伴い、この脆弱性を修正できないと回答しました。
現在のWemoスマートプラグはバージョン4です。
「Friendlyname」から身を守る方法
スターナム氏は、こうしたプラグを所有している人はインターネットに接続すべきではないと述べています。また、家庭内ネットワーク上の機密性の高いデバイスへの接続も許可すべきではありません。
Wemo デバイスのバージョン 2 には今後のアップデートがないことを考慮すると、継続的なサポートと機能強化が必要な場合は、より新しいスマート プラグの代替品を検討するという選択肢もあります。
