No Comments

Bugs in Wyze Cams könnten es Angreifern ermöglichen, Geräte zu übernehmen und auf Video-Feeds zuzugreifen

 

In den beliebten Wyze Cam-Geräten wurden drei Sicherheitslücken offengelegt, die es böswilligen Akteuren ermöglichen, beliebigen Code auszuführen und auf Kamera-Feeds zuzugreifen sowie die SD-Karten unbefugt zu lesen, wobei letztere fast drei Jahre nach der ersten Entdeckung ungelöst blieben.

Die Sicherheitslücken beziehen sich auf eine Umgehung der Authentifizierung (CVE-2019-9564), einen Fehler bei der Remote-Code-Ausführung, der auf einen Stack-basierten Pufferüberlauf zurückzuführen ist (CVE-2019-12266), und einen Fall von nicht authentifiziertem Zugriff auf den Inhalt der SD-Karte (kein CVE).

Die erfolgreiche Ausnutzung der Bypass-Schwachstelle könnte es einem externen Angreifer ermöglichen, das Gerät vollständig zu kontrollieren, einschließlich der Deaktivierung der Aufzeichnung auf der SD-Karte und des Ein-/Ausschaltens der Kamera, ganz zu schweigen von der Verkettung mit CVE-2019-12266, um Live-Audio und -Video anzuzeigen Einspeisungen.

Rumänisches Cybersicherheitsunternehmen Bitdefender, das die Mängel entdeckt, sagte, es habe sich bereits im Mai 2019 an den Anbieter gewandt, woraufhin Wyze im September 2019 bzw. November 2020 Patches zur Behebung von CVE-2019-9564 und CVE-2019-12266 veröffentlichte.

Aber erst am 29. Januar 2022 wurden Firmware-Updates veröffentlicht, um das Problem im Zusammenhang mit dem nicht authentifizierten Zugriff auf den Inhalt der SD-Karte zu beheben, etwa zur gleichen Zeit, als der in Seattle ansässige Hersteller von drahtlosen Kameras Verkauf von Version 1 eingestellt .

Dies bedeutet auch, dass nur die Wyze Cam-Versionen 2 und 3 gegen die oben genannten Schwachstellen gepatcht wurden, während Version 1 dauerhaft potenziellen Risiken ausgesetzt ist.

„Heimanwender sollten IoT-Geräte genau im Auge behalten und sie so weit wie möglich vom lokalen oder Gastnetzwerk isolieren“, warnten die Forscher. „Dies kann erreicht werden, indem eine dedizierte SSID ausschließlich für IoT-Geräte eingerichtet wird oder indem sie in das Gastnetzwerk verschoben werden, wenn der Router die Erstellung zusätzlicher SSIDs nicht unterstützt.“

 


Quelle: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.