解脱的近三年来,互联网Wyze凸轮相机漏洞允许未经身份验证的远程访问视频和图像存储在本地存储卡。
错误,没有被分配一个CVE ID,允许远程用户访问相机的SD卡的内容,而无需身份验证通过网络服务器监听端口80。
当一个SD卡插入到Wyze凸轮物联网,在www目录中创建一个符号链接,这是由网络服务器,但没有访问限制。SD卡通常包含视频、图像和音频录音,但它也可能收集其他用户的信息保存在SD卡上。
SD卡还存储所有设备的日志文件,包括UID(唯一标识号)和全球(AES加密密钥)。他们披露可能导致不受限制的远程访问设备。
Bitdefender的研究人员报道了缺陷的供应商在2019年3月,连同其他两个漏洞,身份验证旁路和远程控制执行缺陷。
Wyze团队解决cve - 2019 - 9564认证绕过缺陷与安全更新9月24日,2019年。此外,cve - 2019 - 12266,远程执行漏洞,是通过一个应用程序打补丁的更新11月9日,2020年,21个月后被发现。
SD卡的问题是最严重的,它不是固定,直到1月29日,2022年,当Wyze固件更新发布。然而,今年2月,Wyze停止支持其V1相机,所以没有更多的安全更新那些摄像头,这个隐私问题,他们将保持开放。
V1是退休后,该公司发布了一个将军警告说,使用过时的产品可能会导致一个“风险增加。“不过,该公司没有提及任何已知的安全漏洞,黑客可以利用。
根据其披露的时间证明,Bitdefender试图说服Wyze接受其在多个场合警告消息。然而,如果Bitdefender知道这些主要威胁三年,为什么没有采取行动反对Wyze ?为什么它等待Wyze赶上如果公司已经晚了?
问题点已被Wyze发言人再次解决:
“在Wyze,我们把巨大的价值用户的信任我们,认真对待所有的安全问题。我们不断地评估我们的安全系统和采取适当措施,保护客户的隐私。我们赞赏Bitdefender提供的负责任的披露这些漏洞。我们曾与比特凡德和修补我们的支持产品的安全问题。这些更新已经在我们的最新部署应用程序和固件更新。”
