近日,知名相机品牌WyzeCam被曝出三个严重安全漏洞。黑客可以利用这些漏洞执行任意代码,完全控制摄像头,访问设备。中的视频资产。更糟糕的是,这些漏洞是三年前发现的,最后一个直到最近才被修复。这三个安全漏洞的具体信息如下:漏洞一:CVE-2019-9564,可绕过身份安全验证;漏洞2:CVE-2019-12266,基于栈的缓冲区溢出,可远程控制摄像头;漏洞三:没有序列号,可以远程接管设备,访问SD卡中的视频资源。如果黑客综合利用以上三个漏洞,就可以轻松绕过设备的认证,侵入目标摄像头,最终实现对摄像头的实时监控。这意味着用户的一举一动都会清晰地出现在黑客的视野中,毫无隐私可言。根据罗马尼亚网络安全公司Bitdefender发布的一份报告,安全研究人员首先发现了这些漏洞,并于2019年5月向供应商报告了漏洞的详细信息。Wyze分别于2019年9月和2020年11月发布了针对CVE的修复程序。-2019-9564和CVE-2019-12266的补丁。2022年1月底,Wyze终于发布了固件更新,解决了攻击者无需身份验证即可访问SD卡内容的问题。安全专家表示,这些缺陷目前影响了三个版本的WyzeCam,其中第一个版本已经停产,因此不会收到安全更新来解决这些漏洞。这意味着第一版WyzeCam当前和未来的使用将始终存在风险且无法得到保证。这对很多用户来说将是一场灾难,尤其是家庭用户,他们所有的隐私都可能被黑客窃取。因此,Bitdefenders表示,家庭用户应该密切关注物联网设备,并尽可能将它们与本地或访客网络隔离开来。这可以通过专门为IoT设备设置专用SSID来完成,或者如果路由器不支持创建额外的SSID,则将它们移至访客网络。参考来源:https://securityaffairs.co/wordpress/129677/hacking/wyze-cam-flaws-allow-takeover.html
