Kamera OpenWeave dan Nest Google rentan terhadap serangan pengambilalihan

  • Peneliti Talos menemukan delapan kelemahan yang mengganggu Nest IQ Indoor dan penenun biner.
  • Serangan tidak sepenuhnya mudah atau sederhana untuk dilakukan dengan sukses, tetapi mereka masih mungkin.
  • Pengguna didesak untuk menerapkan tambalan terbaru yang memperbaiki kedelapan kelemahan keamanan yang dilaporkan.

Peneliti Cisco Talos Lilith Wyatt dan Claudio Bozzato telah menemukan beberapa kelemahan keamanan di kamera Nest Cam IQ Indoor dan protokol jaringan OpenWeave terkait. Kerentanan memungkinkan eksfiltrasi informasi, serangan DoS, pairing paksa kamera, eksekusi kode arbitrer, dan banyak lagi. Talos telah melaporkan rincian cacat tersebut ke Nest, anak perusahaan Google, dan patch perbaikan yang membahas kerentanan keamanan sudah tersedia untuk pemilik perangkat Nest. Semua kamera Nest Labs IQ Indoor yang berjalan pada versi 4620002 atau sebelumnya rentan terhadap serangan yang disebutkan di atas.

Dari total delapan kelemahan yang ditemukan dan diperbaiki, dua dikategorikan lebih tinggi pada skor CVSSv3 yang ditugaskan oleh para peneliti Talos, dan ini adalah CVE-2019-5035 dan CVE-2019-5040. Yang pertama memungkinkan penyerang untuk memaksa memaksa kode pasangan dengan menggunakan set paket tenun yang dibuat khusus, memungkinkan hacker untuk mendapatkan akses ke Weave dan mengambil kendali penuh dari kamera Nest. Kelemahan kedua dapat dieksploitasi dengan paket menenun khusus dibuat lagi, menyebabkan kondisi overflow integer yang mengarah ke skenario penggunaan kembali data dalam PacketBuffer. Penggunaan kembali data ini praktis merupakan masalah pengungkapan informasi.

weave_disclosure "width =" 837 "height =" 575 "data-srcset =" https://apsachieveonline.org/in/wp-content/uploads/2019/08/Kamera-OpenWeave-dan-Nest-Google-rentan-terhadap-serangan-pengambilalihan.png 837w, https: //cdn.technadu. com / wp-content / uploads / 2019/08 / weave_disclosure-300x206.png 300w, https://cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-768x528.png 768w, https: // cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-200x137.png 200w, https://cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-100x70.png 100w, https://cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-696x478.png 696w, https://cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-611x420 .png 611w "ukuran =" (lebar maks: 837px) 100vw, 837pxsumber gambar: talosintelligence.com

Seperti yang ditunjukkan dalam laporan, sebagian besar kerentanan terletak pada binary weave kamera, sementara beberapa juga berlaku untuk binary weave-tool. Biasanya, perintah yang dieksploitasi tidak pernah langsung dieksekusi oleh kamera, dan penyerang akan membutuhkan vektor serangan lokal untuk melakukan pengambilalihan yang sukses. Selain itu, memaksa kode pasangan bisa memakan waktu berhari-hari dan bahkan berminggu-minggu untuk menyimpulkan, tetapi jika dilakukan, kode pemasangan yang sama dapat digunakan lagi di masa depan karena tidak akan berubah bahkan setelah me-reboot perangkat.

Google Nest sedang membangun berbagai produk rumah pintar termasuk detektor asap, sistem alarm, kunci pintar, bel pintu pintar, dan termostat, sedangkan Nest Cam IQ Indoor adalah salah satu produk paling mahal dan canggih di lini Nest. Terintegrasi Google Assistant, mampu mengenali wajah, dan dapat berfungsi sebagai hub 6LoWPAN untuk perangkat lain. Yang mengatakan, itu adalah pusat dari berbagai jenis implementasi jaringan Nest, dan digunakan oleh banyak orang sebagai komponen sistem pengawasan keamanan dalam ruangan. Jika Anda salah satunya, pastikan untuk memperbarui perangkat Anda ke versi firmware terbaru yang tersedia sesegera mungkin.

Apakah Anda mengoperasikan jaringan keamanan Nest? Beri tahu kami pendapat Anda tentang berita di bagian komentar di bawah ini, atau di acara sosial kami, di Facebook dan Twitter.


Pos terkait

Back to top button