近日,某暢銷的攝像頭品牌Wyze Cam被曝存在三個嚴重的安全漏洞,黑客利用這些漏洞可以執行任意代碼,完全控制攝像頭,並且訪問設備中的視頻資源。更糟糕的是,這些漏洞是在三年前被發現的,最後一個漏洞直到近段時間才完成修復。
這三個安全漏洞的具體信息如下:
漏洞一:CVE-2019-9564,可繞過身份安全驗證;
漏洞二:CVE-2019-12266,基於堆棧的緩衝區溢出,可遠程控制攝像頭
漏洞三:無編號,可遠程接管設備,並訪問SD卡中的視頻資源;
如果黑客將以上三個漏洞綜合利用,那麼就可以輕鬆繞過設備的身份驗證,入侵目標攝像頭,最終實現實時監控攝像頭。這意味着,使用者的一舉一動都會清晰的出現在黑客的視野中,再無任何的隱私。
羅馬尼亞網絡安全公司 Bitdefender發布的報告顯示,安全研究人員最早發現了這些漏洞,並在2019年5月就向供應商報告了漏洞詳情,Wyze分別在2019 年9月和2020年11月發布了修復CVE-2019-9564和 CVE-2019-12266的補丁。
2022年1月底,Wyze終於發布了固件更新,解決了攻擊者不經身份驗證,即可訪問SD卡內容的問題。安全專家表示,目前這些漏洞會影響三個版本的Wyze Cam攝像頭,其中第一個版本已經停產,因此不會收到解決上述漏洞問題的安全更新。
這意味着,正在使用且未來繼續使用第一個版本的Wyze Cam攝像頭將會一直處於風險之中,安全性無法得到保證。這對正在很多用戶都將會是一個災難,尤其是家庭用戶,他們所有的隱私都有可能被黑客竊取。
因此,Bitdefenders表示,家庭用戶應密切關注物聯網設備,並儘可能將它們與本地或訪客網絡隔離開來。這可以通過專門為物聯網設備設置專用 SSID 來完成,或者如果路由器不支持創建額外的 SSID,則將它們移動到訪客網絡。
參考來源
https://securityaffairs.co/wordpress/129677/hacking/wyze-cam-flaws-allow-takeover.html
精彩推薦
留言列表