Las cámaras OpenWeave y Nest de Google son vulnerables a los ataques de adquisición

Las cámaras OpenWeave y Nest de Google son vulnerables a los ataques de adquisición
5 (100%) 1 voto

c√°mara nido

  • Los investigadores de Talos descubrieron ocho fallas que afectan a Nest IQ Indoor y el binario del tejedor.
  • Los ataques no son del todo f√°ciles o simples de llevar a cabo con √©xito, pero a√ļn son posibles.
  • Se insta a los usuarios a aplicar el √ļltimo parche que repar√≥ los ocho defectos de seguridad reportados.
  • Los investigadores de Cisco Talos, Lilith Wyatt y Claudio Bozzato han descubierto m√ļltiples fallas de seguridad en la c√°mara Nest Cam IQ Indoor y el protocolo de red asociado OpenWeave. Las vulnerabilidades permiten exfiltraci√≥n de informaci√≥n, ataques DoS, emparejamiento de c√°maras con fuerza bruta, ejecuci√≥n de c√≥digo arbitrario y m√°s. Talos ya ha informado los detalles de las fallas a Nest, una subsidiaria de Google, y un parche de fijaci√≥n que aborda las vulnerabilidades de seguridad ya est√° disponible para los propietarios de dispositivos Nest. Todas las c√°maras Nest Labs IQ Indoor que se ejecutan en la versi√≥n 4620002 o anterior son vulnerables a los ataques antes mencionados.

    De un total de ocho fallas que fueron descubiertas y reparadas, dos se clasifican m√°s alto en el puntaje CVSSv3 que fue asignado por los investigadores de Talos, y estos son los CVE-2019-5035 y CVE-2019-5040. El primero permite a un atacante forzar un c√≥digo de emparejamiento mediante el uso de un conjunto de paquetes de tejido especialmente dise√Īados, lo que permite al hacker obtener acceso a Weave y tomar el control total de la c√°mara Nest. La segunda falla se puede explotar con un paquete de tejido especialmente dise√Īado nuevamente, causando una condici√≥n de desbordamiento de enteros que conduce a un escenario de reutilizaci√≥n de datos en PacketBuffer. Esta reutilizaci√≥n de datos es pr√°cticamente un problema de divulgaci√≥n de informaci√≥n.

    Recomendamos:
    ‚Ė∑ Apple solicita a los EE. UU. La exenci√≥n de aranceles a la importaci√≥n de piezas para el nuevo Mac Pro despu√©s de cambiar el ensamblaje a China
    weave_disclosure "width =" 837 "height =" 575 "data-srcset =" https://www.todotech20.com/wp-content/uploads/2019/08/Las-caacutemaras-OpenWeave-y-Nest-de-Google-son-vulnerables-a.png 837w, https: //cdn.technadu. com / wp-content / uploads / 2019/08 / weave_disclosure-300x206.png 300w, https://cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-768x528.png 768w, https: // cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-200x137.png 200w, https://cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-100x70.png 100w, https://cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-696x478.png 696w, https://cdn.technadu.com/wp-content/uploads/2019/08/weave_disclosure-611x420 .png 611w "tama√Īos =" (ancho m√°ximo: 837px) 100vw, 837pxfuente de la imagen: talosintelligence.com

    Como se√Īala el informe, la mayor√≠a de las vulnerabilidades se encuentran en el binario de tejido de la c√°mara, mientras que algunas tambi√©n se aplican al binario de la herramienta de tejido. Normalmente, los comandos explotados nunca son ejecutados directamente por la c√°mara, y un atacante requerir√≠a un vector de ataque local para llevar a cabo una adquisici√≥n exitosa. Adem√°s, la fuerza bruta del c√≥digo de emparejamiento podr√≠a llevar muchos d√≠as e incluso semanas para concluir, pero si se lleva a cabo, el mismo c√≥digo de emparejamiento puede usarse nuevamente en el futuro, ya que no cambiar√° incluso despu√©s de reiniciar el dispositivo.

    Google Nest est√° construyendo varios productos para el hogar inteligente, incluidos detectores de humo, sistemas de alarma, cerraduras inteligentes, timbres inteligentes y termostatos, mientras que el Nest Cam IQ Indoor es uno de los productos m√°s caros y avanzados de la l√≠nea Nest. Se integra Google Assistant, es capaz de reconocimiento facial y puede servir como un centro 6LoWPAN para otros dispositivos. Dicho esto, es fundamental para muchos tipos diferentes de implementaciones de red Nest, y muchas personas lo usan como un componente del sistema de vigilancia de seguridad interior. Si es uno de ellos, aseg√ļrese de actualizar su dispositivo a la √ļltima versi√≥n de firmware disponible lo antes posible.

    ¬ŅEst√°s operando una red de seguridad Nest? H√°ganos saber lo que piensa sobre las noticias anteriores en la secci√≥n de comentarios a continuaci√≥n, o en nuestras redes sociales, en Facebook y Twitter.