Wyze摄像头中的漏洞可能会让攻击者接管设备并访问视频源

在流行的Wyze-Cam设备中发现了三个安全漏洞，这些漏洞允许恶意参与者执行任意代码、访问摄像头馈送以及未经授权读取SD卡，后者在最初发现后的近三年里一直未得到解决。

安全漏洞与身份验证绕过（CVE-2019-9564）、基于堆栈的缓冲区溢出（CVE-2019-12266）导致的远程代码执行错误，以及未经验证访问SD卡内容的情况（无CVE）有关。

成功利用绕过漏洞可使外部攻击者完全控制设备，包括禁用SD卡录制和打开/关闭摄像头，更不用说将其与CVE-2019-12266链接以查看实时音频和视频源。

发现这些缺陷的罗马尼亚网络安全公司Bitdefender表示，早在2019年5月就与供应商取得了联系，随后Wyze分别于2019年9月和2020年11月发布了修补CVE-2019-9564和CVE-2019-12266的补丁。

但直到2022年1月29日，固件更新才发布，以解决未经验证访问SD卡内容的问题，而这家总部位于西雅图的无线相机制造商大约在同一时间停止销售版本1。

这也意味着只有Wyze Cam版本2和3针对上述漏洞进行了修补，而版本1则永久暴露在潜在风险中。

“家庭用户应密切关注物联网设备，并尽可能将其与本地或客户网络隔离，”研究人员提醒说。“这可以通过专门为物联网设备设置专用SSID来实现，如果路由器不支持创建额外的SSID，也可以通过将它们移动到来宾网络来实现。”