WTF ? ! Êtes-vous un utilisateur de longue date des caméras Wyze ? Ensuite, voici une mauvaise nouvelle : une vulnérabilité a été découverte qui pourrait permettre à des inconnus d’accéder à distance et sans autorisation aux caméras de sécurité à domicile de l’entreprise, et il a fallu trois ans à Wyze pour la réparer.

Bitdefender Les chercheurs en sécurité ont découvert trois vulnérabilités dans les caméras Wyze en 2019. L’une permettait aux pirates de contourner le processus d’authentification pour obtenir une connexion et un contrôle à distance des caméras, y compris en les inclinant et en les éteignant, bien qu’ils ne puissent pas voir le flux distant crypté. Cependant, le deuxième problème était l’un des débordements de tampon de pile standard, permettant aux attaquants d’accéder au flux en direct combiné au contournement de l’authentification à distance.

La troisième vulnérabilité permettait d’accéder au contenu de la carte SD de la caméra via un serveur Web écoutant sur le port 80 sans nécessiter d’authentification. Certains utilisateurs évitent les frais d’abonnement au cloud de l’entreprise et stockent à la place leurs enregistrements sur une carte SD locale, qui contient également des fichiers journaux de l’appareil tels que l’UID (numéro d’identification unique) et l’ENR (clé de cryptage AES).

Bitdefender a contacté Wyze pour la première fois en mars 2019 et a partagé des informations sur ces vulnérabilités de preuve de concept. La faille de contournement d’authentification (CVE-2019-9564) a été corrigée par une mise à jour de sécurité Wyze le 24 septembre 2019, et ce n’est que le 9 novembre 2020, 21 mois après sa découverte, qu’une mise à jour de l’application a corrigé la vulnérabilité d’exécution à distance. (CVE-2019-12266).

Le problème de la carte SD semble avoir été traité de manière encore pire par Wyze. Il a été résolu dans une mise à jour du micrologiciel qui a été publiée le 29 janvier 2022 et qui n’était disponible que pour Wyze Cam v2 et v3, qui ont été publiées en février 2018 et octobre 2020, respectivement. La Wyze Cam v1 lancée en août 2017 est restée vulnérable, écrit Ordinateur qui bipe. Wyze a arrêté cet appareil photo de première génération en janvier sans dire pourquoi.

Publicité

2020 10 27 Image 21

Wyze a dit à ses clients que « votre utilisation continue de la WyzeCam après le 1er février 2022 comporte un risque accru, est découragée par Wyze et est entièrement à vos risques et périls ».

La plupart des chercheurs accordent aux entreprises un délai de grâce, souvent de 30 à 90 jours, pour divulguer toute vulnérabilité découverte avant de le faire eux-mêmes. Parfois, ceux qui ont découvert le problème sautent le pas ; en 2018, Epic Games a fustigé Google pour avoir divulgué tôt un exploit Fortnite Android. Alors pourquoi Bitdefender a-t-il attendu si longtemps ? Le directeur des relations publiques de l’entreprise, Steve Fiore, a déclaré Le bord:

Nos conclusions étaient si sérieuses que notre décision, quelle que soit notre politique habituelle de prolongation de la période de grâce de 90 jours, était que la publication de ce rapport sans la reconnaissance et l’atténuation de Wyze allait exposer potentiellement des millions de clients avec des implications inconnues. D’autant plus que le fournisseur n’avait pas connu (de nous) de processus/cadre de sécurité en place. Wyze en a mis en place une l’année dernière à la suite de nos découvertes (https://www.wyze.com/pages/security-report).

Nous avons retardé la publication des rapports (caméras iBaby Monitor M6S) pendant de plus longues périodes pour la même raison auparavant. L’impact de la publication des résultats, associé à notre manque d’informations sur la capacité du fournisseur à faire face aux retombées, a dicté notre attente.

Nous comprenons que ce n’est pas nécessairement une pratique courante chez d’autres chercheurs, mais divulguer les résultats avant que le fournisseur ne fournisse des correctifs aurait mis beaucoup de gens en danger. Ainsi, lorsque Wyze a finalement communiqué avec nous et nous a fourni des informations crédibles sur sa capacité à résoudre les problèmes signalés, nous avons décidé de lui accorder du temps et de lui accorder des prolongations.

Rate this post
Publicité
Article précédentPoisson d’avril : d’une livraison de cercueil à domicile à l’application pour smartphone « Geordify »
Article suivantQNAP met en garde contre la vulnérabilité OpenSSL Infinite Loop affectant les périphériques NAS
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici