La compañía Nest ha estado bajo los reflectores este año. En enero Google compró esta startup desarrolladora de termostatos para meterse al mundo de la domótica y hace unos días esta misma empresa adquirió Dropcam.
Hoy la noticia alegre para Nest es que su API ya está disponible para que otros desarrolladores puedan integrar otros dispositivos con sus productos pero desgraciadamente es otro hecho lo que eclipsa esta nota.
La comunidad GTV Hacker encontró vulnerabilidades en el termostáto de Nest que podrían comprometer la seguridad y privacidad de los usuarios:
Este dispositivo, aunque se muestra muy útil, si no está bien protegido puede permitir a un atacante la habilidad de monitorear remotamente los hábitos del usuario o el tráfico de red.
El “truco” de GTVHacker utiliza la misma ruta del termostato Nest para cargar software por medio del puerto USB y así poner en marcha su propio gestor de arranque. Después agregan un servidor SSH con acceso root. Esto significa que se puede acceder como una actualización legítima pero abre una puerta trasera que otorga control completo en donde el usuario poseedor del termostato ni siquiera se daría cuenta de algún cambio en su dispositivo.
Un representante de Nest ya comentó sobre este hecho:
Este es un jailbreak que requiere acceso físico al Nest Learning Thermostat. Esto no compromete la seguridad de nuestros servidores ni sus conexiones y por lo que nosotros sabemos no se ha accedido a ningún dispositivo ni se ha comprometido remotamente.
Esperemos que cualquier tipo de vulnerabilidad sea resuelta por los desarrolladores de Nest.
