Bitdefender ha scoperto vulnerabilità di sicurezza nelle videocamere IP Wyze CAM. Gli aggressori possono aggirare il processo di autenticazione, ottenere il controllo completo sul dispositivo e leggere informazioni e dati di configurazione dalla scheda SD della telecamera e installare altro codice dannoso. Un aggiornamento colma il divario dalla Wyze Cam V2. Tuttavia, l'applicazione di patch non è possibile per la prima versione della fotocamera.
Le telecamere di sorveglianza forniscono contenuti sensibili e la valutazione dei dati è soggetta a rigide norme sulla protezione dei dati. Alcune lacune di sicurezza che consentono l'accesso ai video registrati quindi non solo mettono in pericolo la sicurezza di un edificio, ma possono anche violare i diritti personali. Una telecamera in rete come hardware Internet of Things (IoT) necessita della stessa protezione di un endpoint PC.
Gli aggressori ignorano il processo di autenticazione
Come spesso accade nel mondo IoT, le carenze nell'autenticazione sono il punto di ingresso per gli aggressori nella prima versione di Wyze CAM. A causa di un errore nel processo di autenticazione originale, terze parti possono ignorare il login senza conoscere il valore "enr" effettivamente richiesto per questo. In modalità remota, un hacker può avere il pieno controllo del dispositivo, ruotare liberamente l'obiettivo, interrompere la registrazione o spegnere completamente la videocamera.
Inizialmente, l'attaccante non può accedere al contenuto crittografato. Tuttavia, un successivo overflow del buffer dello stack gli consente di eseguire il codice in remoto e visualizzare i video nel passaggio successivo.
Contenuto della scheda SD accessibile
Inoltre, è necessario l'accesso non autorizzato a tutti i contenuti della scheda SD di una telecamera. Qui, gli spettatori non autorizzati accedono al contenuto tramite un collegamento simbolico alla directory che viene stabilita automaticamente. I file di registro della scheda SD possono essere letti e rivelano il valore "enr" per l'autenticazione e l'UID per il collegamento in rete della telecamera. Per vari motivi, il produttore non è più stato in grado di fornire una patch per la prima versione della Wyze Cam, e non vende più la Wyze Cam V1. I clienti che li utilizzano dovrebbero sostituirli.
Altro su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de