Google vill ta smarta ut av smarta hem
ZDNet Chris Matyszczyk hävdar att det finns inget värre än att leva med någon-eller något-det är alltför smart med hälften. Läs mer: https://zd.net/2YIFUkl
Google Boet Cam IQ Inomhus kamera innehöll en uppsjö av sårbarheter som kan användas för att kapa eller störa enheten.
På måndag, Lilith Wyatt och Claudio Bozzato från Cisco Talos forskning team sa en uppsättning större sårbarhet i Boet Cam IQ, en av ett urval av säkerhet i hemmet och Internet of Things (IoT) – enheter som ägs av Google, fanns i kameran.
I version 4620002 av Boet Cam IQ Inomhus, Väv-Protokollet konstaterades vara utsatta i många av de nyligen offentliggjorda säkerhetsbrister.
“Det [Boet Cam IQ Inomhus] främst använder Väva protokoll för inställningar och inledande kommunikation med andra Boet enheter över TCP, UDP, Bluetooth, och 6lowpan,” forskarna säger. “Det är viktigt att notera att samtidigt väva-verktyg för binära också bor på kameran och är utsatta, är det normalt inte utnyttjas eftersom det kräver en lokal angrepp (dvs en angripare-kontrollerade-fil) och den utsatta kommandon är aldrig köra direkt med kameran.”
Det finns åtta sårbarheter totalt, inklusive denial-of-service-problem, kod, och att information läcker.
Se även: WhatsApp sårbarheter ‘lägga ord i din mun,’ hackare kan ta över samtal
Det första problemet, CVE-2019-5043, är ett exploaterbart denial-of-service sårbarhet föranlett av flera försök anslutning till TCP, vilket resulterar i fritt resursfördelning och systemet kraschar. Felet finns i Boet IQ: s Väva demonen.
Den andra säkerhetsbrist, CVE-2019-5034, är närvarande i Väv äldre ihopkoppling funktionalitet. Om utnyttjas av tillverkade Väva paket, angripare kan utlösa en out-of-bounds läsa och efterföljande utlämning av information.
CVE-2019-5040 är annan information läcka fråga som har meddelats av forskargruppen. Finns i Väven MessageLayer tolkning av version 4.0.2 av Openweave-core, sårbarhet kan utlösas med specialskrivna paket att orsaka ett heltalsspill.
Två kod sårbarheter, CVE-2019-5038 och CVE-2019-5039, har också gjorts offentliga. Dessa säkerhetsluckor, finns i skriva-tlv kommando för att Väva verktyg och ASN1 intyg skriva funktionalitet i version 4.0.2 av Openweave-core respektive, kan utnyttjas genom att lura en användare att öppna en skadlig Väva kommando eller Väva själv. Om attacken lyckas, detta kan ge en hacker för möjlighet att exekvera godtycklig kod.
CNET: Google skärper greppet om vissa Android-data över integritet rädsla, säger rapporten
En brute-force sårbarhet, CVE-2019-5035, har också lämnats ut. Felet finns i Väven PASE para ihop funktionerna för kamera och bör en uppsättning utformad väva paket användas, angripare kan brute-force-en länkningskod som “resultat i en större Väv tillgång och potentiellt full device control”, enligt Cisco Talos.
Dessutom, CVE-2019-5036 och CVE-2019-5037, Väva fel och intyg laddar problem, kan utnyttjas av skadlig paket för att orsaka denial-of-service.
Cisco Talos arbetat med Väv och Nest Labs för att lösa säkerheten brister och problem en automatisk uppdatering innan offentliggörande.
En av Googles talesperson berättade ZDNet:
“Vi har fixat lämnas ut buggar och började rulla ut dem till alla Boet Kamera IQs. Enheterna kommer att uppdateras automatiskt så det är ingen åtgärd krävs från användarna.”
TechRepublic: Hur för att förhindra att data förstörs från it-attacker
I relaterade nyheter, Google har meddelat att från och med idag, användarna kan migrera sina bon konton till vanliga Google-konton. Google Hem och Bo anslöt sig i Maj och tech jätten har varit långsamt arbeta sig mot en integration av användarkonton.
E-post inbjudningar är nu att skickas till användare för att börja övergången process, som kommer att kräva en enda inloggning för produkten. Användare som var oroliga för att Amazon Alexa kontroll funktionalitet kan bryta på grund av de förändringar men Google och Amazon har arbetat tillsammans för att lansera en uppdaterad skicklighet för att förhindra eventuella störningar till smarta bostäder.
Tidigare och relaterade täckning
Steam sårbarhet enligt uppgift exponerar Windows spelare att systemet kapning
Trekant app utsätter användaren uppgifter, platser från London till Vita Huset
STORBRITANNIEN hacker-för-hyra fängelse för roll i SIM-byta attacker, data stöld
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter