Med tingenes Internett kommer også flere kanaler som hackere potensielt kan utnytte for å true hjemmets sikkerhet, og nå er det sikkerhetskameraer som har kommet i fokus. Det melder blant andre Vice.
Forskere ved Ciscos sikkerhetsavdeling Talos Group har oppdaget flere sårbarheter kameramodellen Nest Cam IQ, som er det mest avanserte sikkerhetskameraet i selskapets produktlinje. Det er kun innendørsvarianten som skal være rammet.
Usikker Weave-protokoll
Sårbarhetene ligger i den såkalte Weave-protokollen – kommunikasjonsplattformen som benyttes av tingenes Internett-enhetene som lages av Google-eide Nest.
Det som kanskje er den mest alvorlige sårbarheten legger ifølge sikkerhetsforskerne hos Cisco til rette for et «brute force»-angrep som potensielt kan gi hackere full kontroll over kameraet.
Sårbarheten kan trigges med skreddersydde datapakker og fungerer ved å finne koden som parer kameraet med andre typer enheter.
En annen Weave-sårbarhet som også er knyttet til paringsfunksjonaliteten kan benyttes av til et såkalt «out of bonds read»-angrep, som innebærer at uvedkommende vil kunne få tilgang til sensitive data. Også denne sårbarheten kan utløses med spesialdesignede datapakker.
Kan kjøre ondsinnet kode
Et par andre sikkerhetshull gjør det mulig med «buffer overflow»-angrep, som kan brukes til å kjøre ondsinnet kode. Disse sårbarhetene kan utløses ved å overbevise brukeren om å åpne spesiallagde Weave-kommandoer.
Det finnes også et knippe sårbarheter som muliggjør DoS-angrep (denial of service) som igjen kan trigges ved at angriperen sendes spesielle datapakker.
Cisco Talos skriver at de har samarbeidet med Weave og Nest Labs for å forsikre seg om at sikkerhetshullene er tettet, og det finnes en oppdatering man kan laste ned dersom man er i besittelse av det aktuelle kameraet. Mer informasjon finner du på Talos-bloggen.
Nest Cam IQ kommer både i en innendørs- og en utendørsvariant og er tilgjengelig i Norge til priser på rundt 3500 kroner. Digi.no benyttet kameraet i oppsettet da vi testet smartskjermen Google Nest Hub i mai i år.
