image

Nest-beveiligingscamera kon door lek worden overgenomen

dinsdag 20 augustus 2019, 11:06 door Redactie, 9 reacties

Onderzoekers van Cisco hebben in een beveiligingscamera van Nest meerdere kwetsbaarheden gevonden waardoor het mogelijk was voor een aanvaller om de camera uit te schakelen of in het ergste geval over te nemen. Google heeft inmiddels beveiligingsupdates uitgebracht.

De beveiligingslekken waren aanwezig in de Nest Cam IQ Indoor, één van de duurste beveiligingscamera's van Nest. In totaal ontdekten de onderzoekers acht kwetsbaarheden, waarvan de ergste op een schaal van 1 tot en met 10 wat betreft de ernst met een 9 werd beoordeeld. De camera maakt voor de installatie en communicatie met andere Nest-apparaten voornamelijk gebruik van het Weave-protocol.

De meeste kwetsbaarheden waren aanwezig in de code die voor het protocol wordt gebruikt. Zo had een aanvaller via de lekken de pairingcode in een periode van drie tot vier weken kunnen bruteforcen om toegang tot de camera te krijgen en die zelfs volledig over te nemen. Via verschillende andere kwetsbaarheden was het mogelijk voor een aanvaller om een denial of service-aanval uit te voeren en het apparaat onbruikbaar te maken, of om willekeurige code uit te voeren.

Google werd op 18 april door Cisco over de kwetsbaarheden ingelicht en kwam eind juli met beveiligingsupdates. Cisco was oorspronkelijk van plan om tegelijkertijd de details openbaar te maken, maar besloot die datum uit te stellen naar gisteren. Nest-camera's kunnen zichzelf updaten en Google adviseert dan ook om de apparaten online te houden.

Reacties (9)
20-08-2019, 11:21 door hw28
When an appliance is described as being "smart", it's vulnerable.

https://twitter.com/mikko/status/808291670072717312

Maar deze 'wet' neemt natuurlijk niet weg dat de makers veranwoordelijk blijven voor een veilig ontwerp en implementatie.
20-08-2019, 11:32 door Anoniem
Zo langzamerhand ben ik er wel van overtuigd dat veilige camera's en andere IoT niet bestaat.... Hoe meer van die troep je in huis neemt hoe erger het wordt.
20-08-2019, 12:44 door Anoniem
Klopt dat vrijwel alle camera's onveilig zijn maar je kunt ze prima veilig implementeren. Hier in een geïsoleerd netwerk met alleen toegang vanuit Synology SurveillanceStation naar de camera's om de stream te downloaden en de rest gebeurt op en via Synology on prem.
20-08-2019, 13:42 door Anoniem
En voor die camera's vragen ze honderden euro's voor? Ze investeren niet eens in beveiliging.
20-08-2019, 16:09 door Anoniem
Door Anoniem: Zo langzamerhand ben ik er wel van overtuigd dat veilige camera's en andere IoT niet bestaat.... Hoe meer van die troep je in huis neemt hoe erger het wordt.

Er zijn leveranciers die toch weten hoe het moet:
https://medium.com/tenable-techblog/reversing-the-rachio3-smart-sprinkler-controller-ae7fc06aab9

Door Anoniem: Klopt dat vrijwel alle camera's onveilig zijn maar je kunt ze prima veilig implementeren. Hier in een geïsoleerd netwerk met alleen toegang vanuit Synology SurveillanceStation naar de camera's om de stream te downloaden en de rest gebeurt op en via Synology on prem.

En dan blijkt er dus een kwetsbaarheid in Synology te zitten.

Peter
20-08-2019, 16:14 door Anoniem
Door Anoniem: En voor die camera's vragen ze honderden euro's voor? Ze investeren niet eens in beveiliging.
En dat weet je door ... ???
Onzin natuurlijk.
Investeren betekent niet onhackbaar.
20-08-2019, 16:58 door Anoniem
Door Anoniem:
Door Anoniem: En voor die camera's vragen ze honderden euro's voor? Ze investeren niet eens in beveiliging.
En dat weet je door ... ???
Onzin natuurlijk.
Investeren betekent niet onhackbaar.

Het is nog erger dan dat, de meeste camera's komen meer bij een paar leveranciers vandaan, in China en worden gewhite labelled verkocht. Die gaan hier in Nederland diverse keren over de kop qua prijs. camera's zijn niet duur meer, het is een massa product en veiligheid is vaak ver te zoeken, wie kent dit verhaal nog:

https://www.security.nl/posting/506580/Ernstig+beveiligingslek+in+honderdduizenden+ip-camera%27s

en deze

https://www.security.nl/posting/581974/VS+waarschuwt+voor+onveilige+ip-camera%27s+Hangzhou+Xiongmai

Er wordt geen cent uitgegeven aan herstel van deze zwakheden of aan verbeteren.
Waar je echt huiverig van moet worden zijn IP camera's die verkocht worden met uitsluitend een cloud abonnement voor opslag.
21-08-2019, 09:09 door Anoniem
Meest kwalijk is nog dat je als "eigenaar" van een Nest-product geen controle hebt over de video-stream. De apparaatjes van Nest zijn mooi en voelen degelijk aan qua bouwkwaliteit, en zijn tamelijk prijzig dus ook nog een abonnement aanschaffen ben ik niet van plan. Tips om ook "eigenaar" te worden van de stream, zodat je alles in een geïsoleerde intranet-omgeving kunt inrichten blijven welkom.
22-08-2019, 08:27 door spatieman
Door Anoniem:
Door Anoniem: En voor die camera's vragen ze honderden euro's voor? Ze investeren niet eens in beveiliging.
En dat weet je door ... ???
Onzin natuurlijk.
Investeren betekent niet onhackbaar.

nee.
Maar ze hadden wel een "hacker" in kunnen huren die dan met lust het ding onderuit had kunnen halen om te kijken of er lekken in zaten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.