Caméras Wyze

Trois vulnérabilités de sécurité ont été révélées dans les appareils Wyze Cam populaires qui permettent aux acteurs malveillants d’exécuter du code arbitraire et d’accéder aux flux de caméras ainsi que de lire sans autorisation les cartes SD, cette dernière étant restée non résolue pendant près de trois ans après la découverte initiale.

Les failles de sécurité concernent un contournement d’authentification (CVE-2019-9564), un bug d’exécution de code à distance issu d’un débordement de tampon basé sur la pile (CVE-2019-12266), et un cas d’accès non authentifié au contenu de la carte SD (pas de CVE).

La Cyber-Sécurité

L’exploitation réussie de la vulnérabilité de contournement pourrait permettre à un attaquant extérieur de contrôler entièrement l’appareil, notamment en désactivant l’enregistrement sur la carte SD et en allumant/éteignant la caméra, sans parler de l’enchaîner avec CVE-2019-12266 pour afficher l’audio et la vidéo en direct. se nourrit.

La société roumaine de cybersécurité Bitdefender, qui découvert les lacunesa déclaré avoir contacté le fournisseur en mai 2019, après quoi Wyze a publié des correctifs pour corriger CVE-2019-9564 et CVE-2019-12266 en septembre 2019 et novembre 2020, respectivement.

Mais ce n’est que le 29 janvier 2022 que des mises à jour du micrologiciel ont été publiées pour résoudre le problème lié à l’accès non authentifié au contenu de la carte SD, à peu près au même moment où le fabricant de caméras sans fil basé à Seattle arrêté de vendre la version 1.

Publicité
La Cyber-Sécurité

Lorsqu’il a été contacté pour un commentaire sur la période de divulgation inhabituellement longue, Dan Berte, directeur de la sécurité IoT chez Bitdefender, a déclaré à The Hacker News : « De notre point de vue, notre visibilité était limitée sur ce que Wyze pouvait faire à ce sujet à l’époque, n’ayant eu aucune contact. Nous avons décidé de ne pas publier avant de pouvoir les contacter et de nous assurer qu’il y avait un correctif. Lorsque le fournisseur a finalement répondu, nous avons accordé plus de temps pour les correctifs sur la base d’un cas convaincant auquel Wyze pourrait les résoudre.

Cela signifie également que seules les versions 2 et 3 de Wyze Cam ont été corrigées contre les vulnérabilités susmentionnées tout en laissant la version 1 exposée en permanence à des risques potentiels.

« Les utilisateurs à domicile doivent surveiller de près les appareils IoT et les isoler autant que possible du réseau local ou invité », ont averti les chercheurs. « Cela peut être fait en configurant un SSID dédié exclusivement pour les appareils IoT, ou en les déplaçant vers le réseau invité si le routeur ne prend pas en charge la création de SSID supplémentaires. »


Rate this post
Publicité
Article précédentLe recours collectif Joy-Con ne peut réussir que si les enfants sont autorisés à poursuivre Nintendo
Article suivantTest du MSI Spatium M480 Play 2 To
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici