- Talos-forskare fann åtta svagheter som plågade Nest IQ inomhus- och binärvävare.
- Attacker är inte helt enkla eller enkla att utföra framgångsrikt, men de är fortfarande möjliga.
- Användare uppmanas att tillämpa de senaste korrigeringarna som fixar alla åtta rapporterade säkerhetsbrister.
Cisco Talos forskare Lilith Wyatt och Claudio Bozzato har hittat flera säkerhetsbrister på Nest Cam IQ-kameran inomhus och relaterade OpenWeave-nätverksprotokoll. Sårbarhet tillåter informationsfiltrering, DoS-attacker, tvångs kameraparande, exekvering av godtycklig kod med mera. Talos har rapporterat detaljerna om felet till Nest, ett Google-dotterbolag, och reparation av lappar som hanterar säkerhetsproblem som redan är tillgängliga för ägare av Nest-enheter. Alla Nest Labs IQ-kameror inomhus som körs på version 4620002 eller tidigare är sårbara för attackerna som nämns ovan.
Av de totalt åtta svagheterna som har hittats och korrigerats kategoriseras två högre på CVSSv3-poäng som tilldelats av Talos forskare, och dessa är CVE-2019-5035 och CVE-2019-5040. Den första tillåter angriparen att tvinga fram den parade koden med hjälp av en uppsättning vävda paket som är speciellt gjorda, vilket gör det möjligt för hackare att få tillgång till Weave och ta full kontroll över Nests kamera. Den andra nackdelen kan utnyttjas med speciellt gjorda återvävda paket, vilket orsakar ett heltalsöverskridningstillstånd som leder till scenariot med återanvändning av data i PacketBuffer. Återanvändning av dessa uppgifter handlar praktiskt taget om information.
Bildkälla: talosintelligence.comSom rapporten visar ligger de flesta av sårbarheterna i binära vävarkameror, medan vissa också gäller binära vävverktyg. Vanligtvis körs utnyttjade kommandon aldrig direkt av kameran, och angriparen kommer att behöva en lokal attackvektor för att göra en framgångsrik övertagande. Dessutom kan det ta dagar och till och med veckor att tvinga en parningskod att slutföra, men om det är gjort kan samma installationskod användas igen i framtiden eftersom den inte kommer att ändras även efter omstart av enheten.
Google Nest bygger en mängd smarta hemprodukter inklusive rökdetektorer, larmsystem, smarta lås, smarta dörrklockor och termostater, medan Nest Cam IQ Indoor är en av de dyraste och sofistikerade produkterna i Nest-linjen. Integrerad Google Assistant, kan känna igen ansikten och kan fungera som ett 6LoWPAN-nav för andra enheter. Som sagt är det centrum för olika typer av Nest-nätverksimplementeringar och används av många som en del av säkerhetsövervakningssystem inomhus. Om du är en av dem, se till att uppdatera din enhet till den senaste tillgängliga firmwareversionen så snart som möjligt.
Använder du Nest-säkerhetsnätverket? Berätta vad du tycker om nyheterna i kommentaravsnittet nedan, eller om våra sociala, på Facebook och Twitter.
