Bitdefender a découvert des failles de sécurité dans les caméras vidéo IP Wyze CAM. Les attaquants peuvent contourner le processus d'authentification, obtenir un contrôle total sur l'appareil et lire les informations et les données de configuration de la carte SD de la caméra et installer d'autres codes malveillants. Une mise à jour comble l'écart avec la Wyze Cam V2. Cependant, le patch n'est pas possible pour la première version de la caméra.
Les caméras de surveillance fournissent un contenu sensible et l'évaluation des données est soumise à des réglementations strictes en matière de protection des données. Certaines failles de sécurité qui permettent l'accès aux vidéos enregistrées mettent donc non seulement en danger la sécurité d'un bâtiment, mais peuvent également violer les droits des personnes. Une caméra en réseau en tant que matériel Internet des objets (IoT) a besoin de la même protection qu'un point de terminaison PC.
Les attaquants contournent le processus d'authentification
Comme c'est souvent le cas dans le monde de l'IoT, les lacunes d'authentification sont le point d'entrée des attaquants dans la première version de Wyze CAM. En raison d'une erreur dans le processus d'authentification d'origine, des tiers peuvent contourner la connexion sans connaître la valeur "enr" qui est réellement requise pour cela. En mode distant, un pirate peut avoir le contrôle total de l'appareil, faire pivoter/incliner librement l'objectif, arrêter l'enregistrement ou éteindre complètement l'appareil photo.
Initialement, l'attaquant ne peut pas accéder au contenu crypté. Cependant, un débordement de tampon de pile ultérieur lui permet d'exécuter du code à distance et de visionner les vidéos à l'étape suivante.
Contenu de la carte SD accessible
De plus, un accès non autorisé à tout le contenu de la carte SD d'une caméra est nécessaire. Ici, les téléspectateurs non autorisés accèdent au contenu via un lien symbolique vers le répertoire qui est automatiquement établi. Les fichiers journaux de la carte SD peuvent être lus et révéler la valeur "enr" pour l'authentification et l'UID pour la mise en réseau de la caméra. Pour diverses raisons, le constructeur n'était plus en mesure de fournir un patch pour la première version de la Wyze Cam, et il ne commercialise plus la Wyze Cam V1. Les clients qui les utilisent doivent les remplacer.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de