Os pesquisadores da Cisco Talos, Lilith Wyatt e Claudio Bozzato, descobriram várias vulnerabilidades na câmera interna Nest Cam IQ e no protocolo de rede OpenWeave associado. As vulnerabilidades permitem avaliação de informações, ataques de DoS, força bruta ao acoplar câmeras, execução de códigos arbitrários e muito mais. O Talos já relatou detalhes dos bugs ao Nest, uma subsidiária do Google, um patch.Esta solução de vulnerabilidade já está disponível para os proprietários de dispositivos Nest. Todas as câmeras internas do Nest Labs IQ que executam a versão 4620002 ou anterior são vulneráveis aos ataques acima.
Do total de oito erros descobertos e corrigidos, dois têm uma classificação mais alta na classificação CVSSv3 atribuída pelos pesquisadores do Talos, e esses são CVE-2019-5035 e CVE-2019-5040. O primeiro método permite que um invasor use um conjunto de pacotes da Web especialmente projetado para forçar um código de acoplamento. Isso permite que o hacker acesse o Weave e assuma o controle total da câmera Nest. O segundo erro pode ser explorado novamente com um pacote da web especialmente projetado, resultando em uma condição de estouro inteiro que leva a um cenário de reutilização de dados no PacketBuffer. Essa reutilização de dados é praticamente um problema de divulgação de informações.
Fonte da imagem: talosintelligence.comComo o relatório aponta, a maioria das vulnerabilidades é encontrada no binário da web da câmera, enquanto algumas também se aplicam ao binário da ferramenta da web. Normalmente, os comandos usados nunca são executados diretamente pela câmera, e um invasor precisaria de um vetor de ataque local para realizar uma aquisição bem-sucedida. Além disso, pode levar alguns dias e até semanas para que o código de emparelhamento seja brutalmente imposto. No entanto, se for executado, o mesmo código de emparelhamento poderá ser usado novamente no futuro, pois não será alterado mesmo após o reinício do dispositivo.
O Google Nest cria vários produtos domésticos inteligentes, incluindo detectores de fumaça, sistemas de alarme, fechaduras inteligentes, campainhas e termostatos inteligentes. O Nest Cam IQ Indoor é um dos produtos mais caros e avançados da linha Nest. Integra Google Assistant, suporta reconhecimento de rosto e pode ser usado como um 6LoWPANHub pode ser usado para outros dispositivos. Ou seja, é central para muitos tipos diferentes de implementações de rede Nest e é usado por muitos como um componente de um sistema de vigilância de segurança interno. Se você é um deles, atualize seu dispositivo para a versão mais recente do firmware disponível o mais rápido possível.
Você opera uma rede de segurança Nest? Deixe-nos saber o que você pensa sobre as notícias acima na seção de comentários ou em nossas redes sociais Facebook e Twitter.
