近日��,某暢銷的攝像頭品牌Wyze Cam被曝存在三個嚴(yán)重的安全漏洞��,黑客利用這些漏洞可以執(zhí)行任意代碼�����,完全控制攝像頭�����,并且訪問設(shè)備中的視頻資源��。更糟糕的是�,這些漏洞是在三年前被發(fā)現(xiàn)的�����,最后一個漏洞直到近段時間才完成修復(fù)����。
這三個安全漏洞的具體信息如下:
漏洞一:CVE-2019-9564,可繞過身份安全驗證�;
漏洞二:CVE-2019-12266,基于堆棧的緩沖區(qū)溢出���,可遠(yuǎn)程控制攝像頭��;
漏洞三:無編號���,可遠(yuǎn)程接管設(shè)備,并訪問SD卡中的視頻資源�。
如果黑客將以上三個漏洞綜合利用,那么就可以輕松繞過設(shè)備的身份驗證�����,入侵目標(biāo)攝像頭����,最終實現(xiàn)實時監(jiān)控攝像頭。這意味著����,使用者的一舉一動都會清晰的出現(xiàn)在黑客的視野中,再無任何的隱私。
羅馬尼亞網(wǎng)絡(luò)安全公司 Bitdefender發(fā)布的報告顯示���,安全研究人員最早發(fā)現(xiàn)了這些漏洞����,并在2019年5月就向供應(yīng)商報告了漏洞詳情��,Wyze分別在2019 年9月和2020年11月發(fā)布了修復(fù)CVE-2019-9564和 CVE-2019-12266的補丁�����。
2022年1月底���,Wyze終于發(fā)布了固件更新���,解決了攻擊者不經(jīng)身份驗證,即可訪問SD卡內(nèi)容的問題���。安全專家表示�,目前這些漏洞會影響三個版本的Wyze Cam攝像頭�����,其中第一個版本已經(jīng)停產(chǎn),因此不會收到解決上述漏洞問題的安全更新��。
這意味著�,正在使用且未來繼續(xù)使用第一個版本的Wyze Cam攝像頭將會一直處于風(fēng)險之中,安全性無法得到保證�。這對正在很多用戶都將會是一個災(zāi)難����,尤其是家庭用戶,他們所有的隱私都有可能被黑客竊取��。
因此��,Bitdefenders表示��,家庭用戶應(yīng)密切關(guān)注物聯(lián)網(wǎng)設(shè)備���,并盡可能將它們與本地或訪客網(wǎng)絡(luò)隔離開來�。這可以通過專門為物聯(lián)網(wǎng)設(shè)備設(shè)置專用 SSID 來完成���,或者如果路由器不支持創(chuàng)建額外的 SSID���,則將它們移動到訪客網(wǎng)絡(luò)�����。
參考來源:
https://securityaffairs.co/wordpress/129677/hacking/wyze-cam-flaws-allow-takeover.html
文章來源: FreeBuf
在線咨詢
在線咨詢
0371-63319761