Door een lek in de software kunnen inbrekers de beveiligingscamera’s van Nest uitschakelen. Via bluetooth kan een kwaadwillende de camera vast laten lopen, waardoor hij opnieuw opstart.
Met het lek worden de Nest Cam (Indoor en Outdoor) en zijn voorgangers Dropcam en Dropcam Pro getroffen. Naast het vastlopen is het ook mogelijk om de camera met een nieuw wifi-netwerk verbinding te laten maken. Dit duurt 60 tot 90 seconden, waardoor er tijdelijk geen internetverbinding meer is. Hierdoor stopt de opname van de beelden, omdat ze niet meer in de cloud kunnen worden opgeslagen — de camera’s van Nest beschikken niet over lokale opslagcapaciteit.
Beveiligingsonderzoeker Jason Doyle maakte het lek gisteren bekend, nadat hij maanden geleden al ontdekte.
Bluetooth kan niet uit
Uit het lek dat Doyle aan het licht brengt blijkt dat er iets serieus mis is met het ontwerp van de Nest-camera’s. Bluetooth staat in de camera’s standaard aan en blijft altijd aan staan zodat ze makkelijk ingesteld kunnen worden. Maar dit zorgt ervoor dat ze gevoelig zijn voor invloed van buitenaf. Om gebruik te maken van het lek moet de kwaadwillende binnen een straal van 10 meter zijn, zodat ze gebruik kunnen maken van bluetooth.
“Er lijkt geen reden waarom de camera’s bluetooth aan laten staan na het instellen, tenzij het nodig is voor aanpassingen in de toekomst. Sommige camera’s als de Logitech Circle zetten bluetooth uit nadat ze verbinding gemaakt hebben met wifi”, zegt de beveiligingsonderzoeker tegen The Register.
Lek al lang bekend
Opvallend is dat Doyle zegt het lek in oktober al gemeld te hebben aan Nest, een zusterbedrijf van Google. Maar sindsdien is er niets aan gedaan.
Een bron laat wel aan The Register weten dat er aan een oplossing gewerkt wordt. Binnenkort moet er een patch volgen, waardoor het lek toch gedicht wordt.