Google ønsker at tage de smarte ud af intelligente hjem
ZDNet ‘ s Chris Matyszczyk hævder, at der er ikke noget værre end at leve med, at nogen-eller noget-det er for smart. Læs mere: https://zd.net/2YIFUkl
Google Reden Cam IQ Indendørs kamera, der er indeholdt et væld af sikkerhedshuller, som kan bruges til at kapre eller afbryde enheden.
Mandag, Lilith Wyatt og Claudio Bozzato fra Cisco Talos forsknings-team, der sagde, at en række større sårbarheder i Reden Cam IQ, en af et valg af hjem sikkerhed og Internet of Things (IoT) – enheder, der ejes af Google, har eksisteret i kameraet.
I version 4620002 af Reden Cam IQ Indendørs, Væve-Protokollen blev fundet at være udsatte i mange af de nyligt offentliggjort sikkerhedshuller.
“Det [Reden Cam IQ Indendørs] primært bruger til at Væve protokol til installation og den indledende kommunikation med andre Reden enheder via TCP, UDP, Bluetooth, og 6lowpan,” siger forskerne. “Det er vigtigt at bemærke, at mens væve-værktøj binære også bor på kameraet og er sårbar, er det normalt ikke udnyttes, da det kræver en lokal angreb (dvs. en hacker-kontrolleret fil) og sårbare kommandoer er aldrig til at køre direkte fra kameraet.”
Der er otte sårbarheder i alt, herunder denial-of-service-problemer, udførelse af kode, og information lækager.
Se også: WhatsApp sårbarheder ‘med at lægge ord i din mund,’ lader hackere overtage samtaler
Den første svaghed, CVE-2019-5043, er en kommerciel udnyttelse af denial-of-service-svaghed, foranlediget af flere forsøg på at oprette forbindelse til TCP, hvilket resulterer i en ubegrænset ressource allokering og systemet går ned. Fejlen findes i Reden IQ Væve-dæmonen.
Den anden sikkerhedsbrist, CVE-2019-5034, er til stede i Vævningen arv parring funktionalitet. Hvis udnyttes af fabrikeret Væver pakker, angribere kan udløse en out-of-bounds læse og efterfølgende afsløring af oplysninger.
CVE-2019-5040 er en anden information leak, som er blevet offentliggjort af den forskning team. Fundet i Vævningen MessageLayer parsing af version 4.0.2 af Openweave-core, den sårbarhed, som kan udløses med udformede pakker kan forårsage et heltalsoverløb.
To af programkode sårbarheder, CVE-2019-5038 og CVE-2019-5039, har også gjort offentlige. Disse sikkerhedshuller, er til stede i print-tlv kommando af Væver værktøj og ASN1-certifikat skriver funktionalitet i version 4.0.2 af Openweave-core henholdsvis kan udnyttes ved at lokke en bruger til at åbne en skadelig Væver kommando eller Flette selv. Hvis angrebet er succesfuldt, dette kan give en hacker mulighed for at udføre vilkårlig kode.
CNET: Google strammer grebet om nogle Android-data om beskyttelse af privatlivets fred frygter, siger rapporten
En brute-force sårbarhed, CVE-2019-5035, er også blevet offentliggjort. Fejlen findes i Vævningen PASO parring funktionaliteten af kameraet skal et sæt af fabrikerede væver pakker, der anvendes, kan angribere brute-force en pardannelseskode, som “resulterer i en større Væve adgang og potentielt fuld enhed kontrol”, i henhold til Cisco Talos.
Hertil kommer, CVE-2019-5036 og CVE-2019-5037, Væver fejl og certifikat loading problemer, kan udnyttes af ondsindede pakker til at forårsage lammelsesangreb (denial-of-service.
Cisco Talos arbejdet med at Væve, og Reden Labs til at løse de sikkerhedshuller, og udstede en automatisk opdatering, før en offentliggørelse.
En Google-talsmand fortalte ZDNet:
“Vi har rettet videregives fejl og begyndte at rulle dem ud til alle Reden Kamera IQs. De enheder, opdateres automatisk, så der er ingen handling, der kræves af brugere.”
TechRepublic: Hvordan til at forhindre, at data ødelæggelse fra cybersecurity angreb
I relaterede nyheder, Google har annonceret, at udgangspunktet i dag er, at brugerne er i stand til at migrere deres Rede-konti til almindelige Google konti. Google Startside, og Reden sluttede i Maj, og tech gigant har været langsomt arbejder hen imod en integration af brugerkonti.
E-mail-invitationer er nu ved at blive sendt til brugerne, til at begynde overgangen proces, som vil kræve en single sign-in for produktet linje. Brugerne var bekymret for, at Amazon Alexa ‘ s kontrol-funktionalitet kan bryde på grund af de forandringer, men Google og Amazon har arbejdet sammen om at lancere en opdateret dygtighed til at forhindre forstyrrelser i intelligente hjem.
Tidligere og relaterede dækning
Steam svaghed efter sigende udsætter Windows spillere til systemet kapring
Trekantsex app udsætter bruger data, steder, fra London til det Hvide Hus
UK hacker-for-hire fængslet for rolle i SIM-bytte-angreb, tyveri af data
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre