Bitdefender виявив вразливі місця в IP-відеокамерах Wyze CAM. Зловмисники можуть обійти процес автентифікації, отримати повний контроль над пристроєм і зчитувати інформацію та конфігураційні дані з SD-карти камери та інсталювати інший шкідливий код. Оновлення заповнює відставання від Wyze Cam V2. Однак виправлення неможливе для першої версії камери.
Камери спостереження передають конфіденційний вміст, і оцінка даних підлягає суворим нормам захисту даних. Тому деякі прогалини в безпеці, які дозволяють отримати доступ до записаного відео, не тільки загрожують безпеці будівлі, але й можуть порушувати особисті права. Мережева камера як апаратне забезпечення Інтернету речей (IoT) потребує такого ж захисту, як кінцева точка ПК.
Зловмисники обходять процес автентифікації
Як це часто буває в світі Інтернету речей, недоліки в автентифікації є точкою входу для зловмисників у першій версії Wyze CAM. Через помилку в початковому процесі автентифікації треті сторони можуть обійти вхід, не знаючи фактично необхідного для цього значення «enr». У віддаленому режимі хакер може повністю контролювати пристрій, вільно панорамувати/нахиляти об’єктив, зупиняти запис або повністю вимикати камеру.
Спочатку зловмисник не може отримати доступ до зашифрованого вмісту. Однак наступне переповнення буфера стека дозволяє йому віддалено виконувати код і переглядати відео на наступному кроці.
Вміст карти SD доступний
Крім того, необхідний несанкціонований доступ до всього вмісту SD-карти камери. Тут неавторизовані користувачі отримують доступ до вмісту через символічне посилання на каталог, який створюється автоматично. Файли журналу SD-карти можна читати та показувати значення «enr» для автентифікації та UID для підключення камери до мережі. З різних причин виробник більше не міг постачати патч для першої версії Wyze Cam, і він більше не продає Wyze Cam V1. Клієнти, які ними користуються, повинні їх замінити.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de