Archivo para 26/08/19

Seguridad Informática. Google Nest Cam: Cualquiera puede espiarlo a través de este dispositivo, incluyendo a Google y a los Hackers

Especialistas en seguridad de aplicaciones web reportan la presencia de una serie de vulnerabilidades en las cámaras de seguridad domésticas Google Nest Cam que, de ser explotadas, podrían permitir a un hacker tomar control del dispositivo, ejecutar código arbitrario e incluso desconectarlo, siempre y cuando el atacante esté conectado a la misma red que la cámara.

huella digital - Google Nest Cam Cualquiera puede espiarlo a través de este dispositivo, incluyendo a Google y a los Hackers

Esta cámara integra diversos servicios y plataformas, como el sistema operativo Android, Google Assistant, tecnología de reconocimiento facial, entre otras características. Los encargados de descubrir las vulnerabilidades son Lilith Wyatt y Claudio Bozzato, de la firma Cisco Talos.

En su reporte, los especialistas en seguridad de aplicaciones web mencionan que estos dispositivos emplean el protocolo Weave para la configuración y las comunicaciones iniciales a través de TCP, Bluetooth y UDP. “Casi todas las fallas se encuentran en el binario de la cámara”, agregan los expertos. En total fueron halladas ocho vulnerabilidades, de las cuales tres son fallas de denegación de servicio consideradas críticas que los atacantes podrían explotar para desactivar las cámaras, dos fallas de ejecución de código y tres vulnerabilidades de filtración de información confidencial.

Los dos errores más severos, identificados como CVE-2019-5035 y CVE-2019-5040, son fallas de divulgación de información confidencial que pueden activarse mediante el envío de paquetes especialmente diseñados para forzar un código de emparejamiento de fuerza bruta, comprometiendo por completo un dispositivo. Estas vulnerabilidades recibieron puntajes de 9.0 y 8.2 en la escala del Common Vulnerability Scoring System (CVSS).

Acorde a los expertos en seguridad de aplicaciones web, después de configurar por primera vez un dispositivo Nest, los usuarios buscan un código QR o una clave de seis dígitos impresa en el dispositivo; esta clave se usará como secreto compartido para la autenticación JPAKE durante el proceso de emparejamiento. “La cuestión es que estos códigos no cambian nunca, ni siquiera reiniciando el dispositivo, esto brinda a los actores de amenazas el tiempo suficiente para aplicar fuerza bruta y conseguir el acceso”, mencionan los especialistas.

El resto de las vulnerabilidades recibieron puntajes de 7.5 y menores en la escala CVSS. Entre estas, destaca una falla de emparejamiento de Weave que podría filtrar información confidencial; esta falla ha sido identificada como CVE-2019-5034.

La principal vulnerabilidad DoS (CVE-2019-5037) consiste en el envío de un paquete especialmente diseñado para causar desbordamiento de enteros y lectura fuera de los límites en la memoria no asignada, resultando en la condición de denegación de servicio.

Por otra parte, la vulnerabilidad CVE-2019-5038 es una falla que permite la ejecución de código presente en el comando print-tlv de la herramienta Weave que puede desencadenar un desbordamiento de búfer; “la vulnerabilidad puede ser explotada engañando al usuario para que ejecute el comando especialmente diseñado”, mencionaron los expertos.

Acorde a los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) el dispositivo afectado es la cámara Nest Labs IQ Indoor versión 4620002; se recomienda a los usuarios verificar la instalación de los parches lanzados por la compañía. Esta clase de cámaras de seguridad son uno de los dispositivos de Internet de las Cosas (IoT) que más errores de seguridad presentan. Apeas hace algunas semanas se detectó una falla en la cámara de seguridad Amcrest que permitía a los hackers escuchar de forma remota el audio de la cámara sin necesidad de autenticación.

Fuente: NOTICIAS DE SEGURIDAD INFORMÁTICA
https://noticiasseguridad.com/tecnologia/google-nest-cam-cualquiera-puede-espiarlo-a-traves-de-este-dispositivo-incluyendo-a-google-y-a-los-hackers/

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad utilizando la huella digital”

Puede seguirnos en Linkedin. Siganos en Linkedin

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

facebook twitter linkedin

Jairo A. Gómez Cano

Gerente Comercial

Comercial | INBIOSYS

4 5831331 | 57 3127826021
comercial@inbiosys.com.co
www.inbiosys.com.co
Cra. 81 No. 43-72 Local 1103


agosto 2019
L M X J V S D
« Jul   Sep »
 1234
567891011
12131415161718
19202122232425
262728293031  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 61 seguidores

paginas

Categorías

Actualizaciones de Twitter