Door bugs in Wyze Cams kunnen aanvallers apparaten overnemen en toegang krijgen tot videofeeds

Wyze Cams Nachrichten

Er zijn drie beveiligingsproblemen ontdekt in de populaire Wyze Cam-apparaten die kwaadwillenden toestaan ​​om willekeurige code uit te voeren en toegang te krijgen tot camerafeeds en om ongeautoriseerd de SD-kaarten te lezen, waarvan de laatste bijna drie jaar na de eerste ontdekking onopgelost bleef.

De beveiligingsfouten hebben betrekking op een authenticatie-bypass (CVE-2019-9564), een fout bij het uitvoeren van externe code als gevolg van een stack-gebaseerde bufferoverloop (CVE-2019-12266), en een geval van niet-geverifieerde toegang tot de inhoud van de SD-kaart (geen CVE).

Succesvol misbruik van de bypass-kwetsbaarheid kan een externe aanvaller in staat stellen het apparaat volledig te besturen, inclusief het uitschakelen van het opnemen op de SD-kaart en het in- en uitschakelen van de camera, om nog maar te zwijgen van het koppelen met CVE-2019-12266 om de live audio en video te bekijken voedt.

Roemeens cyberbeveiligingsbedrijf Bitdefender, dat ontdekte de tekortkomingenzei dat het al in mei 2019 contact had opgenomen met de leverancier, waarna Wyze in september 2019 en november 2020 patches uitbracht om CVE-2019-9564 en CVE-2019-12266 te repareren.

Maar pas op 29 januari 2022 werden firmware-updates uitgebracht om het probleem met niet-geverifieerde toegang tot de inhoud van de SD-kaart op te lossen, rond dezelfde tijd dat de in Seattle gevestigde fabrikant van draadloze camera’s gestopt met de verkoop van versie 1.

Dit betekent ook dat alleen Wyze Cam-versies 2 en 3 zijn gepatcht tegen de bovengenoemde kwetsbaarheden, terwijl versie 1 permanent is blootgesteld aan potentiële risico’s.

“Thuisgebruikers moeten IoT-apparaten goed in de gaten houden en zoveel mogelijk isoleren van het lokale of gastnetwerk”, waarschuwden de onderzoekers. “Dit kan door een dedicated SSID exclusief voor IoT-apparaten in te stellen, of door ze naar het gastnetwerk te verplaatsen als de router het aanmaken van extra SSID’s niet ondersteunt.”

David
Rate author
Hackarizona