Google wil met smart uit van de smart home
ZDNet ‘ s Chris Matyszczyk beweert dat er niets erger dan het leven met iemand-of iets-dat is te slim voor de helft. Lees meer: https://zd.net/2YIFUkl
De Google Nest Cam IQ Indoor camera bevatte een overvloed van kwetsbaarheden in de beveiliging die kunnen worden gebruikt om te kapen of verstoren van het apparaat.
Op maandag, Lilith Wyatt en Claudio Bozzato van de Cisco Talos onderzoeksteam gezegd een set van belangrijke kwetsbaarheden in het Nest Cam IQ, een een selectie van de veiligheid van het huis en het Internet of Things (IoT) apparaten die eigendom is van Google, bestond in de camera.
In versie 4620002 van het Nest Cam IQ Binnen, het Weven Protocol werd gevonden om kwetsbaar te zijn in veel van de zojuist bekendgemaakt beveiligingslekken.
“Het [Nest Cam IQ Indoor] gebruikt voornamelijk het Weven protocol voor de installatie en de eerste communicatie met andere Nest apparaten via TCP, UDP, Bluetooth, en 6lowpan,” de onderzoekers gezegd. “Het is belangrijk op te merken dat de weave-tool binaire leeft ook op de camera en kwetsbaar is, is het normaal gesproken niet worden misbruikt als het vereist een lokale aanval (d.w.z. een aanvaller gecontroleerde bestand) en de kwetsbare opdrachten worden nooit rechtstreeks beheerd door de camera.”
Er zijn acht beveiligingslekken in totaal, met inbegrip van de weigering-van-service problemen, de uitvoering van code, en het lekken van informatie.
Zie ook: WhatsApp kwetsbaarheden ‘woorden in uw mond,’ laat hackers nemen over gesprekken
De eerste kwetsbaarheid CVE-2019-5043, is een misbruikt voor denial-of-service-aanval wordt gevraagd door meerdere pogingen om verbinding te TCP, wat resulteert in een totale toewijzing van middelen en het systeem vastloopt. De bug bestaat in het Nest IQ ‘ s Weven daemon.
Het tweede lek, CVE-2019-5034, is aanwezig in Weven oudere paren functionaliteit. Als geëxploiteerd door gemaakt Weven pakketten, aanvallers kunnen leiden tot een out-of-bounds lezen en de daaropvolgende openbaarmaking van informatie.
CVE-2019-5040 is een andere informatie lekken probleem dat werd bekendgemaakt door het onderzoeksteam. Gevonden in het Weefsel MessageLayer het parseren van versie 4.0.2 van Openweave-core, de kwetsbaarheid kan worden geactiveerd met gemaakte pakketten te leiden tot een integer overflow.
Twee code-uitvoering kwetsbaarheden (CVE-2019-5038 en CVE-2019-5039, hebben ook openbaar zijn gemaakt. Deze veiligheidsgaten, aanwezig in de print-tlv opdracht van Weven gereedschap en ASN1-certificaat schrijven functionaliteit van de versie 4.0.2 van Openweave-core respectievelijk kunnen worden benut door het lokken van een gebruiker in het openen van een kwaadaardig Weefsel opdracht of Weven zelf. Als de aanval succesvol is, kan een hacker de mogelijkheid voor het uitvoeren van willekeurige code.
CNET: Google verstevigt grip op sommige Android-gegevens over de privacy angsten, rapport zegt
Een brute-force kwetsbaarheid CVE-2019-5035, heeft ook zijn verstrekt. De bug bestaat in het Weefsel PASE koppelen functionaliteit van de camera en moet een set van gemaakte weven pakketten worden gebruikt, kan een aanvaller brute-force een koppelingscode die “resulteert in een grotere Weven toegang en mogelijk volledige controle apparaat,” volgens Cisco Talos.
Bovendien, CVE-2019-5036 en CVE-2019-5037, Weven fout en certificaat laden van problemen, uitgebuit kunnen worden door kwaadwillende pakketten te leiden tot denial-of-service.
Cisco Talos gewerkt met Weven en Nest Labs aan het oplossen van de veiligheidsproblemen en de afgifte van een automatische update voor openbaarmaking.
Een Google-woordvoerder vertelde ZDNet:
“We hebben vast de gemelde bugs en begon te rollen ze uit naar alle Nesten Camera Iq. De toestellen zullen de update automatisch, dus er is geen actie vereist van de gebruikers.”
TechRepublic: Hoe om te voorkomen dat gegevens vernietiging van cybersecurity aanvallen
In gerelateerd nieuws, Google heeft aangekondigd dat vanaf vandaag kunnen gebruikers in staat zijn te migreren hun Nest accounts standaard Google-accounts. Google Startpagina Nest en sloot in Mei en de tech-gigant is langzaam werken in de richting van een integratie van user accounts.
E-mail uitnodigingen zijn inmiddels verzonden naar de gebruikers om te beginnen met de omschakeling proces, waarvoor een single sign-in voor de product line. Gebruikers waren bezorgd dat Amazon Alexa ‘ s control-functionaliteit kan breken als gevolg van de veranderingen, maar Google en Amazon hebben samen gewerkt aan de lancering van een vernieuwd vaardigheid om te voorkomen dat eventuele verstoring van slimme woningen.
Vorige en aanverwante dekking
Stoom kwetsbaarheid naar verluidt bloot Windows gamers systeem kapen
Trio app stelt gebruikers data, locaties van Londen naar het Witte Huis
BRITSE hacker-voor-het huren van gevangen gezet voor de rol in de SIM-swapping aanvallen, diefstal van data
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters