Google Nest Cam: cualquiera puede espiarlo a través de este dispositivo, incluyendo a Google y a los hackers

Especialistas en seguridad de aplicaciones web reportan la presencia de una serie de vulnerabilidades en las cámaras de seguridad domésticas Google Nest Cam que, de ser explotadas, podrían permitir a un hacker tomar control del dispositivo, ejecutar código arbitrario e incluso desconectarlo, siempre y cuando el atacante esté conectado a la misma red que la cámara.

Esta cámara integra diversos servicios y plataformas, como el sistema operativo Android, Google Assistant, tecnología de reconocimiento facial, entre otras características. Los encargados de descubrir las vulnerabilidades son Lilith Wyatt y Claudio Bozzato, de la firma Cisco Talos.

En su reporte, los especialistas en seguridad de aplicaciones web mencionan que estos dispositivos emplean el protocolo Weave para la configuración y las comunicaciones iniciales a través de TCP, Bluetooth y UDP. “Casi todas las fallas se encuentran en el binario de la cámara”, agregan los expertos. En total fueron halladas ocho vulnerabilidades, de las cuales tres son fallas de denegación de servicio consideradas críticas que los atacantes podrían explotar para desactivar las cámaras, dos fallas de ejecución de código y tres vulnerabilidades de filtración de información confidencial.

Los dos errores más severos, identificados como CVE-2019-5035 y CVE-2019-5040, son fallas de divulgación de información confidencial que pueden activarse mediante el envío de paquetes especialmente diseñados para forzar un código de emparejamiento de fuerza bruta, comprometiendo por completo un dispositivo. Estas vulnerabilidades recibieron puntajes de 9.0 y 8.2 en la escala del Common Vulnerability Scoring System (CVSS).

Acorde a los expertos en seguridad de aplicaciones web, después de configurar por primera vez un dispositivo Nest, los usuarios buscan un código QR o una clave de seis dígitos impresa en el dispositivo; esta clave se usará como secreto compartido para la autenticación JPAKE durante el proceso de emparejamiento. “La cuestión es que estos códigos no cambian nunca, ni siquiera reiniciando el dispositivo, esto brinda a los actores de amenazas el tiempo suficiente para aplicar fuerza bruta y conseguir el acceso”, mencionan los especialistas.

El resto de las vulnerabilidades recibieron puntajes de 7.5 y menores en la escala CVSS. Entre estas, destaca una falla de emparejamiento de Weave que podría filtrar información confidencial; esta falla ha sido identificada como CVE-2019-5034.

La principal vulnerabilidad DoS (CVE-2019-5037) consiste en el envío de un paquete especialmente diseñado para causar desbordamiento de enteros y lectura fuera de los límites en la memoria no asignada, resultando en la condición de denegación de servicio.

Por otra parte, la vulnerabilidad CVE-2019-5038 es una falla que permite la ejecución de código presente en el comando print-tlv de la herramienta Weave que puede desencadenar un desbordamiento de búfer; “la vulnerabilidad puede ser explotada engañando al usuario para que ejecute el comando especialmente diseñado”, mencionaron los expertos.

Acorde a los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) el dispositivo afectado es la cámara Nest Labs IQ Indoor versión 4620002; se recomienda a los usuarios verificar la instalación de los parches lanzados por la compañía. Esta clase de cámaras de seguridad son uno de los dispositivos de Internet de las Cosas (IoT) que más errores de seguridad presentan. Apeas hace algunas semanas se detectó una falla en la cámara de seguridad Amcrest que permitía a los hackers escuchar de forma remota el audio de la cámara sin necesidad de autenticación.