Wyze摄像头曝出大漏洞,近三年时间才修复

安全 漏洞
Wyze Cam被曝存在三个严重的安全漏洞,黑客利用这些漏洞可以执行任意代码,完全控制摄像头,并且访问设备中的视频资源。

近日,某畅销的摄像头品牌Wyze Cam被曝存在三个严重的安全漏洞,黑客利用这些漏洞可以执行任意代码,完全控制摄像头,并且访问设备中的视频资源。更糟糕的是,这些漏洞是在三年前被发现的,最后一个漏洞直到近段时间才完成修复。

这三个安全漏洞的具体信息如下:

  • 漏洞一:CVE-2019-9564,可绕过身份安全验证;
  • 漏洞二:CVE-2019-12266,基于堆栈的缓冲区溢出,可远程控制摄像头;
  • 漏洞三:无编号,可远程接管设备,并访问SD卡中的视频资源。

如果黑客将以上三个漏洞综合利用,那么就可以轻松绕过设备的身份验证,入侵目标摄像头,最终实现实时监控摄像头。这意味着,使用者的一举一动都会清晰的出现在黑客的视野中,再无任何的隐私。

罗马尼亚网络安全公司 Bitdefender发布的报告显示,安全研究人员最早发现了这些漏洞,并在2019年5月就向供应商报告了漏洞详情,Wyze分别在2019 年9月和2020年11月发布了修复CVE-2019-9564和 CVE-2019-12266的补丁。

2022年1月底,Wyze终于发布了固件更新,解决了攻击者不经身份验证,即可访问SD卡内容的问题。安全专家表示,目前这些漏洞会影响三个版本的Wyze Cam摄像头,其中第一个版本已经停产,因此不会收到解决上述漏洞问题的安全更新。

这意味着,正在使用且未来继续使用第一个版本的Wyze Cam摄像头将会一直处于风险之中,安全性无法得到保证。这对正在很多用户都将会是一个灾难,尤其是家庭用户,他们所有的隐私都有可能被黑客窃取。

因此,Bitdefenders表示,家庭用户应密切关注物联网设备,并尽可能将它们与本地或访客网络隔离开来。这可以通过专门为物联网设备设置专用 SSID 来完成,或者如果路由器不支持创建额外的 SSID,则将它们移动到访客网络。

参考来源:https://securityaffairs.co/wordpress/129677/hacking/wyze-cam-flaws-allow-takeover.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2017-12-05 10:20:12

2017-11-24 10:37:49

2023-12-08 13:18:27

2013-05-21 10:19:22

2024-11-01 21:53:49

2022-08-01 17:53:36

漏洞网络攻击

2021-07-19 14:47:11

微软漏洞Windows

2020-09-27 14:34:36

智能

2020-05-22 13:27:49

5G网络张云勇运营商

2011-05-20 09:29:22

宽带

2012-06-28 09:32:15

Windows RTMetro

2021-07-28 22:41:43

开源软件漏洞攻击

2023-06-05 11:56:57

2021-03-11 10:21:55

特斯拉黑客网络攻击

2011-02-14 09:44:16

2013-09-29 09:43:40

戴尔CEO私有化

2015-08-12 13:20:48

2g

2024-02-21 11:41:18

2023-12-04 12:02:05

2013-03-21 09:56:09

点赞
收藏

51CTO技术栈公众号