تیستن جامعه مهندسین تست نرمافزار ایران
نوشته های مرتبط
آسیبپذیریهای زیادی در Nest Cam IQ Indoor گوگل یافت شده است، که میتواند باعث شود هکرها بتوانند مردم را از طریق لنز تماشا کنند. حمله سایبری به دوربین امنیتی هوشمند همچنین میتواند به معنای قطع کار دستگاه و ایجاد دسترسی به سیستم خانه مالک باشد.
تصور میشد این دوربین بالاترین سطح امنیتی ایجاد شده توسط گوگل را داراست، با این حال ، محققان Lilith Wyatt و Claudio Bozzato از گروه تهدید هوشمند Cisco Talos، هشت آسیبپذیری را در دستگاه مشاهده کردند.
نگران کنندهتر این است که امکانات این دوربین دارای پیشرفتهای امنیتی بسیاری هستند که روی آنها قرار گرفته است. این امکانات شامل Linux in Android، تشخیص چهره و Google Assistant است. این بدان معناست که اگر هکرها بتوانند امنیت بالایی را که در استفاده از این امکانات وجود دارد، از بین ببرند، میتوانند دوربینهای با محافظت کمتر را نیز هک کنند.
محل مشکل
آسیبپذیریهایی که توسط Wyatt و Bozzato کشف شد در پروتکل Wave نسخه ۴۶۲۰۰۰۲ دوربین یافت شد. این بخش برای استفاده در ارتباطات اینترنت اشیاء طراحی شده است.
Wyatt و Bozzato می گویند: “[Nest Cam IQ Indoor] در درجه اول از پروتکل Weave برای تنظیم و برقراری ارتباطات اولیه با سایر دستگاههای Nest از طریق TCP ، UDP ، Bluetooth و ۶lowpan استفاده میکند.” آنها ادامه میدهند: “. توجه به این نکته ضروریست که وقتی weave-tool binary نیز در دوربین حضور داشته و آسیب پذیر است، بنابراین به طور معمول قابل استفاده نیست، آنچنانکه نیاز به یک Local Attack Vector (به عنوان مثال فایل کنترل شده توسط مهاجم) دارد و این دستورات آسیب پذیر هرگز مستقیماً توسط دوربین اداره نمیشود.”
بخشی از مشکلات موجود شامل اجرای کد، نشت غیررسمی(Informal Leak) و انکار مشکلات سرویس است.
رفع مشکل
گوگل به وب سایت خبری فناوری اطلاعات، ZDNet گفته است که آنها این مشکل را برطرف کردهاند و کسانی که این دوربین را دارند، مجبور نیستند هیچ اقدامی انجام دهند.
سخنگوی Google اعلام کرده است: “ما اشکالات فاش شده را برطرف کرده و شروع به رفع آن برای تمام Nest Camera IQها کردهایم. دستگاهها به طور خودکار بروزرسانی میشوند، بنابراین لازم نیست کاربران کاری انجام دهند”.
