Onderzoekers hebben in de WeMo-huisautomatisering van Belkin verschillende lekken ontdekt waardoor aanvallers de aangesloten apparatuur op afstand kunnen bedienen, kwaadaardige firmwareupdates kunnen installeren, toegang tot het thuisnetwerk kunnen krijgen en zelfs brand kunnen veroorzaken.

De Belkin WeMo laat consumenten via hun smartphone die met internet is verbonden elektronische apparaten aan en uit zetten waar ze zich ook bevinden. Ook is het mogelijk om televisies, lampen, stereo-installaties, elektrische kachels, ventilatoren en andere apparaten draadloos te bedienen. Door de kwetsbaarheden zouden zo'n half miljoen gebruikers risico lopen.

Kwetsbaarheden

De eerste kwetsbaarheid waar onderzoekers van beveiligingsbedrijf IOActive voor waarschuwen is de beveiliging van de firmware-updates. Belkin gebruikt publieke sleutelencryptie om ongeautoriseerde aanpassingen aan de firmware te voorkomen. De sleutel om de firmware te signeren en het wachtwoord bevinden zich echter in de firmware die al op het apparaat is geïnstalleerd.

Een aanvaller kan deze sleutel en het wachtwoord vervolgens gebruiken om zijn eigen kwaadaardige firmware te signeren, waardoor deze update gewoon door de WeMo-apparatuur wordt geïnstalleerd. Een bijkomend probleem is dat de WeMo-apparaten de geldigheid van SSL-certificaten niet controleren. Daardoor kan een aanvaller elk willekeurig SSL-certificaat gebruiken om de kwaadaardige firmware-updates te verspreiden.

Een andere kwetsbaarheid is het communicatieprotocol dat de WeMo-apparaten gebruiken. Het is gebaseerd op een protocol dat Voice over Internet Protocol (VoIP) diensten gebruiken om firewall- en NAT--beperkingen te omzeilen. Volgens IOActive heeft Belkin fouten bij de implementatie gemaakt, waardoor er sprake van een heus "WeMo-darknet" is, waarbij er met elk apparaat direct verbinding kan worden gemaakt. Hierbij volstaat het raden van een "geheim getal". Deze aanval staat los van de aanval via de firmware-update.

Verder bleek dat de Belkin WeMo-server application programming interface (API) kwetsbaar voor XML-inclusion is. Daardoor is het mogelijk voor een aanvaller om alle WeMo-apparaten te compromitteren.

Oplossing

IOActive zou samen met het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit meerdere malen hebben geprobeerd om Belkin te bereiken, maar zonder succes. Er zijn dan ook geen beveiligingsupdates beschikbaar. Gebruikers van de apparatuur krijgen daarom het advies die los te koppelen en pas weer te gebruiken als Belkin de lekken heeft gepatcht.