Tahun lalu Google menemukan beberapa kelemahan keamanan di browser Microsoft Edge. Pihak Google mendesak Microsoft untuk memperbaiki kekurangan ini dalam waktu sembilan bulan. Namun Microsoft bertindak sebaliknya, browser masih rentan terhadap serangan cyber. Sebagai kosekuensinya, peneliti keamanan Google menerbitkan beberapa aspek mengenai kekurangan untuk mengungkapkan sekilas pemuan mereka. Cukup adil. Akan tetapi baru-baru ini ditemukan kerentanan pada produk Google Nest Dropcam.
Ketika kerentanan datang pada salah satu produk Google, ternyata Google sama malasnya seperti Microsoft. Seorang peneliti keamanan Jason Doyle menemukan kerentanan pada Produk Google Nest Dropcams. Sehingga memungkinkan penyerang Nest Lab membuat kamera crash dan memblokir mereka dari video rekaman. Kekurangan yang ada pada kamera firmware versi 5.2.1.
Nest Labs yang diakuisisi oleh Alphabet Inc . (Google) sebesar $ 3,2 milyar pada Januari 2014. Mengkhususkan diri pada produk seperti Learning Thermostat, Smoke+CO Alarm, Indoor Cam dan Outdoor Cam. Dalam hal ini, Google Nest Dropcam dan Google Nest Dropcam Pro rentan terhadap serangan. Kerentanan ini dapat dimanfaatkan untuk membuat kamera Crash menggunakan fitur Bluetooth. Pencuri bisa menciptakan situasi yang sempurna untuk mencuri dan pencuri dapat melaksanakan kegiatan ilegal mereka tanpa tertangkap.
Softpedia melaporkan bahwa Doyle memperingatkan Google tentang kerentanan ini pada Oktober 2016. Namun, tidak ada pembaruan perangkat lunak atau patch yang dikeluarkan oleh perusahaan Google. Sikap malas Google memaksa Jason Doyle untuk mempublikasikan temuannya di GitHub.
Disebutkan bahwa Google Nest Dropcam memiliki tiga kerentanan:
- Bluetooth (BLE) berdasarkan Buffer Overflow melalui SSID parameter,
- Bluetooth (BLE) berdasarkan Buffer Overflow via Encrypted Password parameter dan
- Bluetooth (BLE) berdasarkan Wifi Reassociation.
Dalam Bluetooth (BLE) berdasarkan Buffer Overflow melalui SSID parameter. Penyerang dapat memutuskan kamera yang ditargetkan dari Wifi dan menonaktifkannya dari video rekaman. Namun, penyerang harus berada dalam jangkauan Bluetooth.
Dalam Bluetooth (BLE) berdasarkan Buffer Overflow via Encrypted Password parameter yang cacat. Penyerang bisa membuat kamera crash dan menghentikan kamera yang ditargetkan dari rekaman. Dengan memicu kondisi buffer overflow ketika mengatur parameter password terenkripsi pada kamera.
Dalam Bluetooth (BLE) berdasarkan Wifi Reassociation yang cacat. Penyerang dapat memutuskan kamera yang ditargetkan dari jaringan yang terhubung dengan mengeluarkan SSID baru. Akan tetapi karena penyimpanan lokal video tidak didukung oleh kamera Nest Lab, mereka mencoba untuk terhubung kembali dengan jaringan asli. Namun, seluruh proses membutuhkan waktu beberapa menit, selama fitur video recording dinonaktifkan.
Sejak Jason Doyle telah menerbitkan temuannya ke publik, saatnya bagi Google untuk mengeluarkan patch tanpa penundaan lebih lanjut. The Register mengklaim bahwa Google akan melakukan perbaikan itu dalam beberapa hari mendatang.
