近日,某热销的摄像头知名品牌Wyze Cam被曝存有三个比较严重的安全性漏洞,黑客运用这种漏洞可以实行任何编码,良好控制摄像头,而且浏览机器设备中的影视资源。更糟心的是,这种漏洞是在三年前被看到的,最后一个漏洞直到近段时间才进行修补。
这三个安全性漏洞的详细数据如下所示:
- 漏洞一:CVE-2019-9564,可绕开真实身份身份验证;
- 漏洞二:CVE-2019-12266,根据高速缓存的跨站脚本攻击,可远程操作摄像头;
- 漏洞三:无识别码,可远程控制接手机器设备,并浏览SD卡中的影视资源。
假如黑客将以上三个漏洞开发利用,那麼就可以轻轻松松绕开机器设备的身份认证,侵入总体目标摄像头,最后完成实时监控系统摄像头。这代表着,使用人的一举一动都是会清楚的出現在黑客的视线中,再无一切的个人隐私。
罗马尼亚网络信息安全企业 Bitdefender公布的结果报告显示,安全性科研工作人员最开始发觉了这种漏洞,并在2019年5月就向经销商汇报了漏洞详细信息,Wyze各自在2019 年9月和2020年11月公布了修补CVE-2019-9564和 CVE-2019-12266的补丁包。
2022年1月末,Wyze总算公布了固定件升级,解决了网络攻击不经过身份认证,就可以浏览SD卡內容的问题。安全性专业人士表明,现阶段这种漏洞会危害三个版本的Wyze Cam摄像头,在其中第一个版本早已停工,因而不容易接到处理以上漏洞问题的安全补丁。
这代表着,已经运用且将来再次应用第一个版本的Wyze Cam摄像头可能一直处在风险性当中,安全系数没法获得确保。这对已经许多消费者都可能是一个灾祸,尤其是家庭用户,她们全部的个人隐私都是有也许被黑客盗取。
因而,Bitdefenders表明,家庭用户应密切关注物联网设备,并尽量将他们与当地或访客网络防护起来。这可以经过专业为物联网设备设定专用型 SSID 来进行,或是假如无线路由器不兼容建立附加的 SSID,则将他们挪动到访客网络。
参照来源于:https://securityaffairs.co/wordpress/129677/hacking/wyze-cam-flaws-allow-takeover.html