‘Inbrekers kunnen Nest-camera uitschakelen, beveiligingslekken al sinds oktober bekend’
De Nest-beveiligingscamera kan door inbrekers en andere kwaadwillenden worden uitgeschakeld. Tot die conclusie komt beveiligingsonderzoeker Jason Doyle. Het beveiligingslek is te vinden op alle varianten van de Nest-camera. Nest zou op de hoogte zijn en aan een fix werken, maar heeft daar nog niet over gecommuniceerd.
Beveiligingslekken in Nest-camera’s
Het beveiligingslek in de Nest Cam Indoor en Outdoor, Dropcam en Dropcam Pro vereist wel dat een inbreker via Bluetooth verbinding kan maken met de camera. Hij (of zij) moet zich dus op een afstand van minder dan 10 meter bevinden om een aanval te kunnen uitvoeren. Via Bluetooth kan een kwaadwillende zorgen dat de camera vastloopt en opnieuw opstart. Ook kan deze persoon de internetverbinding verbreken, zodat de camera stopt met opnames en ook niet meer kan waarschuwen voor verdachte personen of bewegingen.
Doyle meldde het lek al in oktober bij Nest, maar heeft sindsdien niets meer gehoord over een oplossing. Hij vindt het daarom nu tijd worden om het lek openbaar te maken. Helaas is er ook nog geen oplossing beschikbaar om jezelf te beschermen. Het is niet mogelijk om Bluetooth uit te schakelen.
Het gaat in totaal om drie kwetsbaarheden in de firmwareversie 5.2.1. Doyle geeft in zijn onthulling enkele voorbeelden van exploits. Zo kan een aanvaller een buffer overflow in de camera veroorzaken door via Bluetooth te pingen met een extreem lange Wi-Fi-netwerknaam (SSID). Daardoor crasht de camera en start opnieuw op. Een andere exploit met hetzelfde effect is het sturen van een extra lang Wi-Fi-wachtwoord. Hoewel je daarbij korte tijd zonder beeld zit (wellicht lang genoeg om iets waardevols weg te pakken), werkt de camera daarna wel weer.
90 seconden offline
De derde exploit is vervelender, omdat je internetverbinding voor langere tijd wegvalt. Daarbij probeert de aanvaller de camera te koppelen met een ander Wi-Fi-netwerk, waardoor de verbinding met het huidige netwerk verloren gaat. Als dit niet lukt zal de Nest-camera na 90 seconden weer proberen om terug te gaan naar het vertrouwde netwerk, maar je mist dan wel 90 seconden aan opnames. Nest slaat de beelden alleen online op, dus geen verbinding betekent ook: geen beelden.
Door deze exploits meermaals te gebruiken kan een kwaadwillende de camera offline houden en zorgen dat er geen opnames meer worden gemaakt. Zoals eerder al aangegeven moet je voor al deze aanvallen wel op korte afstand van de camera zijn.
Bluetooth altijd ingeschakeld
Een van de grootste problemen is dat Bluetooth standaard is ingeschakeld bij de Nest-camera’s en dat het niet is uit te schakelen. Dit is gedaan om het apparaat op elk moment draadloos opnieuw te kunnen instellen. Beveiligingsonderzoeker Doyle heeft ook geen oplossing:
Wat workarounds betreft, denk ik niet dat die er zijn, omdat je Bluetooth niet kunt uitschakelen.
Doyle snapt niet waarom Nest de Bluetooth-functie steeds actief houdt, aangezien je het alleen nodig hebt bij het instellen van de camera. Concurrerende camera’s zoals de Logitech Circle schakelen Bluetooth uit na de installatie. Wellicht dat Nest in de toekomst nog extra functies via Bluetooth wil aanbieden, maar dat gaat dan wel ten koste van de veiligheid.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Nanoleaf Pegboard Desk Dock: slimme verlichting én organisatie voor je bureau (16-04)
- Beats heeft nu ook eigen oplaadkabels: nuttige toevoeging of niet? (15-04)
- Nieuwe Chipolo POP is een kleurrijk AirTag-alternatief met twee grote voordelen (15-04)
- Robotstofzuigers werken nu met HomeKit: dit zijn de eerste ondersteunde modellen (02-04)
- 'IKEA werkt aan BILRESA: dubbele knoppen met Matter en Thread voor je smart home' (27-03)
Echt zo’n kansloos apparaat. Überhaupt al dat een draad aan de buitenzijde van een camera zit. Zelfs in de officiële marketing plaatjes (zoals hierboven met de postbode) zie je de draad langs de muur naar beneden lopen. Hoezo moeilijk doen met aanvallen via Bluetooth / WiFi. Ik weet een veel snellere methode om de camera uit te schakelen: knip/snij de draad door. Of als je echt wil lachen: ruk het hele systeem van de muur door hard aan de draad te trekken. Ik snap echt niet wat Nest bezield met deze camera en wat het doel is. Het is in ieder geval geen beveiligingscamera.
@WvB22: Iedere camera is te omzeilen als je het op die wijze doet. Met een plastic zak om een professionele camera gebeurt hetzelfde. Het is dus de truc om de camera op een plek op te hangen waar een kwaadwillende er niet bij kan. Ik geef je zeker gelijk dat de foto hierboven wel erg knullig is.
Mijn camera werkt via Wifi en netvoeding. Die kun je dus ook met gemak uitschakelen. Maar de camera staat verdekt in de boekenkast en ik heb geen sticker op de deur dat ik een Canary in huis heb.
@WvB22: Oh snap je het dan niet WvB22? Nee natuurlijk is het geen beveiligingscamera, maar voor Google is ‘ie ideaal om alles in de gaten te houden.. 😂👍
@Jesper: nou je zou het bijna echt denken. Ik zat net nog de installatie video te kijken. Oplossing van Nest genoemd in de video: verf de draad in de kleur van je woning. Werkelijk…
Een goede beveiligingscamera hangt op een plek waar je niet makkelijk bij komt en al helemaal geen stroomkabels die je langs de buitenzijde in een contactdoos buiten (!) moet insteken. Enige nut dat ik zie als je hem binnnen achter een raam kwijt kunt maar dat gaat gegarandeert ten koste van beeldkwaliteit (zeker met de nachtcamera). Het idee is echt goed maar dit moet veel beter uitgewerkt worden.
Maar een camera in huis is al veel veiliger tegen uitschakeling dan een buitencamera met bedrading aan de buitenzijde. Zo’n camera kan je of verdekt opstellen zoals jij doet of je zet hem pontificaal in het zicht. Tegen de tijd dat inbrekers de camera zien staan ze echt wel op beeld hopelijk zelfs met geluid (voegt veel toe).
Och, inbrekers zijn toch doorgaans kansloze domme types die snel even wat willen meenemen? Die hebben echt de know how niet om zich hier mee bezig te houden.
Nest is waardeloos huis tuin en keuken beveiliging!
En te duur ook nog. Lekker naar Honeywell gaan en je goed laten informeren over de optie die er zijn. En zal je nog wat vertellen het lek was vorig jaar al in juni 😂😂👍
@Edwin: Graag je argumenten … kretelogie overtuigt niet echt…
Ik heb deze Nest camera, is absoluut niet te benaderen zonder in het detectiegebied te komen … (waarschijnlijk zelfs niet ongezien in het bluetooth bereik)
En daarbij, iedere camera kun je met verf o.i.d. verduisteren, maar je moet er nog steeds bij … dus of er nu een kabel “vrij” hangt maakt dan ook niet meer uit bij mij gaat hij wel direct de koof in (slechts een centimeter of zo in beeld)
Google hardware komt hier sowieso niet in huis…