Google Nest Cam IQ ievainojamības var izmantot, lai nolaupītu kameru un nopludinātu datus

  • Sep 05, 2023

Iekštelpu drošības ierīce bija pakļauta kļūdām, kas apdraudēja lietotāju privātumu.

Google Nest Cam IQ Indoor kamerā bija daudz drošības ievainojamību, ko varētu izmantot ierīces nolaupīšanai vai darbības pārtraukšanai.

Pirmdien sacīja Lilita Vaieta un Klaudio Bocato no Cisco Talos pētniecības grupas galveno ievainojamību kopums Nest Cam IQ, viena no mājas drošības un lietiskā interneta (IoT) ierīcēm, kas pieder uzņēmumam Google, pastāvēja kamerā.

Drošība

  • 8 ļoti drošu attālināto darbinieku ieradumi
  • Kā atrast un noņemt spiegprogrammatūru no tālruņa
  • Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
  • Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk

Nest Cam IQ Indoor versijā 4620002 tika konstatēts, ka Weave protokols ir neaizsargāts daudzu nesen atklāto drošības trūkumu dēļ.

"Tā [Nest Cam IQ Indoor] galvenokārt izmanto Weave protokolu iestatīšanai un sākotnējai saziņai ar citām Nest ierīcēm, izmantojot TCP, UDP, Bluetooth un 6lowpan," sacīja pētnieki. "Ir svarīgi atzīmēt, ka, lai gan aušanas rīka binārais fails dzīvo arī kamerā un ir neaizsargāts, tas parasti nav izmantojams kā tam ir nepieciešams lokāls uzbrukuma vektors (t.i., uzbrucēja kontrolēts fails), un kamera nekad tieši nedarbina ievainojamās komandas."

Kopumā ir astoņas ievainojamības, tostarp pakalpojuma atteikuma problēmas, koda izpilde un informācijas noplūde.

Skatīt arī: WhatsApp ievainojamība "liek vārdus mutē", ļauj hakeriem pārņemt sarunas

Pirmā ievainojamība, CVE-2019-5043, ir ekspluatējama pakalpojuma atteikuma ievainojamība, ko izraisa vairāki mēģinājumi izveidot savienojumu ar TCP, kā rezultātā notiek neierobežota resursu piešķiršana un sistēmas avārijas. Kļūda pastāv Nest IQ Weave dēmonā.

Otrais drošības trūkums, CVE-2019-5034, ir pieejams Weave mantotā savienošanas pārī funkcionalitātē. Ja tos izmanto izstrādātas Weave paketes, uzbrucēji var izraisīt ārpus robežām lasītu un sekojošu informācijas izpaušanu.

CVE-2019-5040 ir vēl viena informācijas noplūdes problēma, ko atklājusi pētnieku grupa. Ievainojamība, kas atrasta Openweave-core versijas 4.0.2. versijā Weave MessageLayer parsēšanā, var tikt aktivizēta ar izveidotām paketēm, lai izraisītu vesela skaitļa pārpildīšanu.

Divas koda izpildes ievainojamības, CVE-2019-5038 un CVE-2019-5039, ir arī publiskoti. Šie drošības trūkumi, kas sastopami Weave rīka komandā print-tlv un versijas ASN1 sertifikātu rakstīšanas funkcionalitātē Attiecīgi Openweave-core versiju 4.0.2 var izmantot, pievilinot lietotāju atvērt ļaunprātīgu Weave komandu vai Weave pati par sevi. Ja uzbrukums ir veiksmīgs, tas var dot hakeram iespēju izpildīt patvaļīgu kodu.

CNET: Ziņojumā teikts, ka Google stingrāk kontrolē dažus Android datus, jo baidās no privātuma

Brutāla spēka ievainojamība, CVE-2019-5035, ir arī atklāts. Kļūda pastāv kameras Weave PASE savienošanas pārī funkcionalitātē, un, ja tiek izmantota izstrādātu weave pakešu kopa, uzbrucēji var brutāli piespiest pārī savienošanas kodu, kā rezultātā tiek nodrošināta lielāka piekļuve Weave un, iespējams, ir pilnīga ierīces kontrole, norāda Cisco. Talos.

Papildus, CVE-2019-5036 un CVE-2019-5037, Weave kļūdas un sertifikātu ielādes problēmas, var tikt izmantotas ļaunprātīgas paketes, lai izraisītu pakalpojumu atteikumu.

Cisco Talos sadarbojās ar Weave un Nest Labs, lai novērstu drošības nepilnības un izdotu automātisku atjauninājumu pirms publiskošanas.

Google pārstāvis pastāstīja ZDNet:

"Mēs esam novērsuši atklātās kļūdas un sākām tās ieviest visos Nest Camera IQ. Ierīces tiks atjauninātas automātiski, tāpēc lietotājiem nav jāveic nekādas darbības."

TechRepublic: Kā novērst datu iznīcināšanu no kiberdrošības uzbrukumiem

Saistītajās ziņās Google par to ir paziņojusi sākot no šodienas, lietotāji var migrēt savus Nest kontus uz standarta Google kontiem. Maijā pievienojās Google Home un Nest, un tehnoloģiju gigants lēnām strādā pie lietotāju kontu integrācijas.

Tagad lietotājiem tiek nosūtīti ielūgumi uz e-pastu, lai sāktu pārejas procesu, kas prasīs vienu produktu līniju pierakstīšanos. Lietotāji bija nobažījušies, ka Amazon Alexa vadības funkcionalitāte var sabojāt izmaiņu dēļ, bet Google un Amazon ir sadarbojušies, lai ieviestu atjauninātu prasmi, lai novērstu jebkādus viedtālruņa darbības traucējumus mājas.

Daudzi no 2018. gada bīstamākajiem Android un iOS drošības trūkumiem joprojām apdraud jūsu mobilo ierīču drošību

Iepriekšējais un saistītais pārklājums

  • Tiek ziņots, ka Steam ievainojamība pakļauj Windows spēlētājus sistēmas nolaupīšanai
  • Lietotne Threesome atklāj lietotāju datus, atrašanās vietas no Londonas līdz Baltajam namam
  • Apvienotās Karalistes algots hakeris ieslodzīts par lomu SIM maiņas uzbrukumos, datu zādzībās

Vai jums ir padoms? Droši sazinieties ar WhatsApp | Signāls pa tālruni +447713 025 499 vai pa Keybase: charlie0