A Wemo Mini Smart Plug V2, amely lehetővé teszi a felhasználók számára, hogy mobilalkalmazáson keresztül távolról vezéreljenek bármit, egy biztonsági réssel rendelkezik, amely lehetővé teszi a kibertámadások számára, hogy különféle rossz kimenetelekre váltsanak. Ezek közé tartozik az elektronika távolról történő be- és kikapcsolása, valamint a belső hálózatba való belépés lehetősége, vagy a további eszközökre való ugrás.
Sokan használják – privát és vállalati szinten egyaránt – a Smart Plug-ot, ami csatlakozik az aljzatba, a Wi-Fi hálózathoz és az internethez az UPNP-portokon (Universal Plug-n-Play) keresztül. A felhasználók ezután egy mobilalkalmazással vezérelhetik az eszközt, ami lényegében lehetőséget kínál arra, hogy a régi lámpákat, ventilátorokat és egyéb használati tárgyakat „okossá” tegyék. Az alkalmazás integrálható az Alexával, a Google Asszisztenssel és az Apple Home Kittel, miközben további funkciókat kínál, például időzítést, ütemezést.
A hiba (CVE-2023-27217) egy puffertúlcsordulást okozó sérülékenység, amely az eszköz F7C063 modelljét érinti. Ez lehetővé teszi a távoli parancsok adását – a Sternum kutatói szerint, akik felfedezték ezt a biztonsági rést. Sajnos, amikor megkeresték az eszközgyártót, a Belkint a javítás érdekében, azt mondták nekik, hogy nem érkezik firmware-frissítés, mivel az eszköz élettartama lejárt.
„Ezek közül az eszközök közül sokat még mindig telepítenek” – magyarázták egy május 16-i elemzésben, hivatkozva arra a 17 értékelésre, amit a Smart Plug Amazon-on mutat. „Ez csak az Amazon, a teljes eladásának százezres nagyságrendűnek kell lennie. És ez egy konzervatív becslés.” – mondta Igal Zeifman, a Sternum marketingért felelős alelnöke és hozzátette, „Csak a mi laborunkban három Smart Plug volt, amikor a kutatás elkezdődött. Ezek most ki vannak kapcsolva.”