Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Patch blijft uit voor lekken die Nest-camera's kunnen laten crashen'

Door , 32 reacties

Beveiligingsonderzoeker Jason Doyle heeft een drietal lekken ontdekt, die gebruikt kunnen worden om Nest-camera's van Google te laten crashen en opnieuw te laten opstarten. Hij stelde Google in oktober van de lekken op de hoogte, maar er zou tot nu toe geen patch zijn uitgekomen.

Doyle zet zijn bevindingen uiteen in een GitHub-post. Daarin meldt hij dat het lek bestaat in software met versienummer 5.2.1, die aanwezig is in de Dropcam, Dropcam Pro en de Nest-camera's voor binnen en buiten. Via twee van de drie kwetsbaarheden zijn de camera's binnen een korte afstand opnieuw op te starten. Dit is volgens Doyle problematisch, omdat de camera's gedurende die tijd niet kunnen opnemen. De aanvaller moet zich wel binnen het bluetooth-bereik van de camera's bevinden.

Deze kwetsbaarheden zijn te gebruiken via bluetooth low energy, dat na de installatie van de camera's standaard ingeschakeld is. Door verbinding te maken met de camera, kan een kwaadwillende in het eerste geval een bepaalde ssid instellen waardoor het apparaat via een buffer overflow crasht en opnieuw opstart. In het tweede geval is eveneens een buffer overflow teweeg te brengen door een versleuteld wachtwoord in te stellen.

Het derde lek maakt het mogelijk om de camera met een nieuw wifi-netwerk verbinding te laten maken. Dit proces duurt ongeveer 60 tot 90 seconden, waardoor er tijdelijk geen internetverbinding bestaat. Als de camera uiteindelijk geen verbinding kan maken, keert hij terug naar het oorspronkelijke netwerk. Doyle stelt dat hiermee de opname van de camera tijdelijk onderbroken kan worden, doordat er geen lokale opslag aanwezig is.

De onderzoeker laat aan The Register weten dat er geen workarounds zijn, omdat bluetooth niet uit te schakelen is. Google zou wel bevestigd hebben dat zijn melding binnen is gekomen, maar de zoekgigant heeft daarna niets meer laten weten. Een bron meldt aan The Register dat Google werkt aan een patch die binnenkort moet uitkomen.

Door Sander van Voorst

Nieuwsredacteur

21-03-2017 • 07:32

32 Linkedin Google+

Reacties (32)

Wijzig sortering
Hoewel ze deze lekken natuurlijk kunnen, en moeten, dichten, vraag ik me wel af of het echt uitmaakt. Het fundamentele probleem is een wifi camera zonder lokale opslag. Hem dwingen verbinding te proberen te maken met een ander netwerk verbreekt de verbinding voor een minuutje. Maar als je toch weet dat er wifi cameras hangen zonder lokale opslag, dan is het net zo eenvoudig om uit China een WiFi jammer te halen, en ook veilig rond te lopen omdat alle camera's hun verbinding verliezen op het moment dat jij er in de buurt komt.

Lokale opslag zou hier tegen helpen al, al is het enige echte wat werkt een ethernet (of ander bedraad protocol) verbinding. Dat of direct een waarschuwing krijgen als een camera wegvalt, dat zou ook tegen al deze methodes helpen. De vraag is dan natuurlijk hoeveel false positives je krijgt.
Dit 100%. Ja, het zijn stomme fouten welke je wel moet verhelpen, maar nee, een wifi cam zonder storage is nooit een security-product.
Een security cam zonder remote storage heeft ook zijn nadelen. Dan nemen ze gewoon de storage mee?
Remote storage hoeft niet altijd onsite te zijn... Succes met de storage meenemen in de cloud :)
Hij zegt ook: ZONDER remote storage, dan nemen ze de storage mee. Met remote storage staat het bijvoorbeeld in de cloud, en kun je niks meenemen
Je kan op 3 manieren storage doen als je wil.

Ten eerste met een sd kaart in de camera.
Dan moeten ze de camera dus slopen.
Zou idd camera niet met wifi maar met bedraad verbinden en lokaal opslaan.
die opslag moeten ze dan eerst zien te vinden.
Je lokale opslag kun je parallel beelden laten oploaden.
of nog mooier:

Lokale SD opslag voor buffer als netwerk wegvalt, wegschrijven naar netwerk storage en die syncen naar de cloud.

Dat is hoe wij het hier met wifi EN ethernet cameras doen.
Camera slopen is overduidelijk een strafbaar feit. En wordt ook wel geregistreerd.
Maar een camera jammen lijkt me nog niet zo duidelijk.
locate storage? dat is zo 1990 > die recorder wordt gewoon meegenomen. beter is remot / co-locatie. locale storage verkoop ik echt niet meer aan klanten
Dat hangt natuurlijk wel een beetje af van je pand layout, als jij een goeie stalen datacenter (brand)deur hebt voor je server room, dan is er niets aan de hand. Kost waarschijnlijk veel te veel tijd om open te breken, vooral als de politie binnen 15 minuten voor de deur staat.
Dus Google heeft het met 6 maanden nog geen patch uit kunnen brengen, terwijl ze andere partijen wel aan die 90 dagen regel houden? Het mag wel duidelijk zijn dat het doel van Project Zero puur alleen tegen de concurrentie gericht is, niets meer niets minder.
Uhm? Het gaat om de Disclosure van beveiligingsproblemen en niet om een oplossing in 90 dagen. Weldegelijk een groot verschil en er staat nergens in het artikel dat Google de publicatie van het probleem tegenhoudt of tegen gehouden heeft.

Nog beter zelfs de Disclosure is hier te vinden.

[Reactie gewijzigd door rijk0214 op 21 maart 2017 09:20]

Uhm, het gaat dus wel degelijk om dat bedrijven binnen 90 dagen een oplossing moeten hebben, want ze gaan dan 'automatisch' over naar publicatie (behalve als het google producten behelst schijnbaar).
Veel van de bugs hier hebben ook effect op Google, genoeg dingen die op linux en java draaien daar. Je kunt nou eenmaal niet hetzelfde aantal grote bugs verwachten als met Windows/iOS bijvoorbeeld omdat de beveiligingsproblemen die je bijvoorbeeld bij Chrome ziet bedoeld zijn om daarna je rechten weer verder te escaleren dmv een exploit in het OS zelf.

Er worden ook zat bugs aan Google zelf gereport, zoals bijvoorbeeld XSS in maps.

Tevens project zero is niet exhaustive er zijn ook zat bugs die aan MS direct gerapporteerd worden die je nooit tegen komt in publieke documentatie.
Stroom afsluiten en weg internet, WiFi incl. camera's, echt beveiliging kan je dat niet noemen...
Maar dan zul je toegang moeten hebben tot het afsluiten, en bij mij kom je het erf niet op zonder vol in beeld te komen. Die beelden worden real-time weggeschreven naar een lokale omgeving en doorgestuurd naar een off-site server. Beide voorzien van een UPS.

Dus ja, het kán wel werken, maar voor huis, tuin en keuken installaties is het een ander verhaal, die hangen het aan hun NAS en kijken erop met hun telefoon. Die NAS kan je altijd nog meenemen. Bij een kennis van mij ook dus een keer geweest, mensen wisten dat hij camera's had en allemaal gadgets etc. Is toen ingebroken, en zijn NAS en amateur servers zijn meegenomen. Dag camera beelden en de rest van je inboedel.
Dus een WIFI Jammer werkt dan beter i.d.d.!
Nee hoor, alles lekker bedraad. Wifi camera's zijn geen beveiligingsmiddelen, maar observatie middelen. Om dingen realtime te monitoren zonder ter plekke aanwezig te hoeven zijn.

[Reactie gewijzigd door xoniq op 21 maart 2017 12:28]

Wat zo krom is dat wanneer het team van google andere giganten aanspreekt op hun lekken. Er altijd wel gezeik is bla bla negatieve reacties. Maar wanneer google zo'n domme lek het heeft het gewoon blijft bestaan. Kunnen ze net zo goed stoppen bij de google afdeling als ze zelf hun shizzls niet op orde hebben of willen fixen.
eens, het lijk er dan ook op dat deze product lijn niet zo best loopt. meestal zijn ze bij google snel. maar producten die niet populair zijn sterven bij hun eem stille dood.
Kunnen ze net zo goed stoppen bij de google afdeling als ze zelf hun shizzls niet op orde hebben of willen fixen.
Nee, Project Zero is goed bezig.
Nest is gewoon verkeerd bezig. Je hebt gelijk dat binnen Google men aan dezelfde standaard gehouden moet worden als Google (via Project Zero) van andere bedrijven eist. Sterker nog, ze zouden koploper moeten zijn.

Note, Project Zero is onderdeel van Google, en Nest valt niet onder Google maar onder Alphabet. Maar dat is gewoon rommelen in de marge.
Hier klopt niets van. Project Zero gaat over disclosure. Welke voor deze bugs hier te vinden zijn.

Er is geen enkele indicatie dat Google de publicatie heeft tegengehouden en dat is juist waar andere bedrijven over klagen mbt Project Zero, die willen problemen graag geheim houden.

Je bent niet de eerste in deze nieuwspost die disclosure met een oplossing verward, en ik hoop dat je ook in ziet dat het tegenhouden van disclosure juist is waar we boos over moeten worden. Niet dat er een project is die het standaard daarvoor hoog houdt en ook zelf niet disclosures in de weg zit.
Daar gaat het niet om. Google dwingt partijen om bugs tijdig op te lossen (binnen 90 dagen) anders gaan ze over tot het publiceren van details.
Bij Stagefright hebben ze ook al om meer tijd gevraagd en gekregen en ook bij deze issue zijn ze na 6 maanden nog niet klaar met de patch. En dat terwijl Google niet even kon wachten met publiceren van een issue in Windows tot de volgende patch Tuesday. Dat is meten met 2 maten.
Even voor de goede orde, dit zijn dus geen lekken, maar kwetsbaarheden. Dat is echt een fundamenteel verschil.

Een kwetsbaarheid kan geexploit worden en dit kan impact hebben op beschikbaarheid, integriteit en veiligheid van een systeem. Wanneer de laatste twee (integriteit en veiligheid) geexploit worden, dan zou dit mogelijk kunnen leiden tot een lek. Maar dan moet er wel sprake zijn van een inbreuk dat leidt data-ex-filtratie.

En wanneer er sprake is van data-ex-filtratie van persoonsgegevens, dan pas is er sprake van een data-lek in de ogen van de wetgever (Wbp / Meldplicht Datalekken).

Wanneer er sprake van zou zijn dat de Nest-camera's standaard al de beelden open het Internet opsturen, dan kan er gesproken worden van een lek. In deze cases zijn het kwetsbaarheden die in een bepaalde situatie kunnen leiden tot een lek.

Elke kwetsbaarheid standaard een lek noemen is stemmingsmakerij naar mijn mening.

[Reactie gewijzigd door teusink op 21 maart 2017 11:12]

Zoals ik het lees moet de aanvaller eerst toegang zien te krijgen tot de camera zelf. Dus ofwel via WiFi ofwel middels een login?
"Deze kwetsbaarheden zijn te gebruiken via bluetooth low energy, dat na de installatie van de camera's standaard ingeschakeld is. "
Maar ik kan toch niet zomaar inloggen via Bluetooth? Dat zou pas een veiligheidslek zijn.
Je kan blijkbaar wel een verbinding via Bluetooth tot stand brengen...

Inloggen in het systeem is dan dus blijkbaar nog niet nodig denk ik.
Als je zelfs oordopjes al moet 'pairen' met een apparaat, dan zal dat voor een beveiligingscamera ook wel gelden. Stel dat dat niet het geval was geweest, dan was er namelijk wel een groter lek dan de door de Jason Doyle gemelde lekken.
Beter lezen, er staat duidelijk in vermeld dat het met Bluetooth kan in beperkt bereik (want Bluetooth).
Daarnaast kan je de camera's kennelijk zover krijgen dat ze met een ander wifi netwerk gaan verbinden.
Je hebt geen login gegevens nodig zover ik uit het artikel haal (staat nergens vermeld).

[Reactie gewijzigd door jozuf op 21 maart 2017 07:54]

Maar ik kan toch niet zomaar inloggen via Bluetooth? Dat zou pas een veiligheidslek zijn. Toch?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*