Onderzoekers van Cisco hebben in een beveiligingscamera van Nest meerdere kwetsbaarheden gevonden waardoor het mogelijk was voor een aanvaller om de camera uit te schakelen of in het ergste geval over te nemen. Google heeft inmiddels beveiligingsupdates uitgebracht.
De beveiligingslekken waren aanwezig in de Nest Cam IQ Indoor, één van de duurste beveiligingscamera's van Nest. In totaal ontdekten de onderzoekers acht kwetsbaarheden, waarvan de ergste op een schaal van 1 tot en met 10 wat betreft de ernst met een 9 werd beoordeeld. De camera maakt voor de installatie en communicatie met andere Nest-apparaten voornamelijk gebruik van het Weave-protocol.
De meeste kwetsbaarheden waren aanwezig in de code die voor het protocol wordt gebruikt. Zo had een aanvaller via de lekken de pairingcode in een periode van drie tot vier weken kunnen bruteforcen om toegang tot de camera te krijgen en die zelfs volledig over te nemen. Via verschillende andere kwetsbaarheden was het mogelijk voor een aanvaller om een denial of service-aanval uit te voeren en het apparaat onbruikbaar te maken, of om willekeurige code uit te voeren.
Google werd op 18 april door Cisco over de kwetsbaarheden ingelicht en kwam eind juli met beveiligingsupdates. Cisco was oorspronkelijk van plan om tegelijkertijd de details openbaar te maken, maar besloot die datum uit te stellen naar gisteren. Nest-camera's kunnen zichzelf updaten en Google adviseert dan ook om de apparaten online te houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.