Gli esperti di Bitdefender hanno scoperto tre vulnerabilità nelle videocamere di Wyze che possono essere sfruttate per accedere al flusso video da remoto ed eseguire codice infetto. Il produttore statunitense ha rilasciato una aggiornamento per le ultime due generazioni, mentre il primo modello non viene più supportato. Il fatto grave è rappresentato dal tempo impiegato per risolvere tutti i problemi di sicurezza: quasi tre anni.
Wyze Cam: sicurezza trascurata
I ricercatori di Bitdefender hanno segnalato le vulnerabilità a marzo 2019, ma Wyze ha risolto l’ultima delle tre lo scorso 29 gennaio 2022. Gli aggiornamenti sono stati però rilasciati solo per le versioni 2 e 3 della videocamera. Il supporto per il primo modello della serie (visibile nell’immagine all’inizio dell’articolo) è stato interrotto a fine gennaio 2022, quindi non riceverà nessuna patch. Gli utenti che possiedono questa videocamera dovrebbero scollegarla da Internet (o buttarla nella spazzatura).
Una vulnerabilità, identificata con CVE-2019-9564, consente di bypassare la procedura di autenticazione e quindi di controllare la videocamera da remoto. È possibile, ad esempio, accendere/spegnere il dispositivo o disattivare la registrazione su scheda SD. Non è possibile visualizzare il flusso video, sfruttando questo bug. Ciò può essere fatto invece sfruttando la vulnerabilità CVE-2019-12266 che permette di effettuare un accesso remoto tramite buffer overflow.
I due problemi di sicurezza sono stati risolti con le patch distribuite il 24 settembre 2019 e il 9 novembre 2020. La terza vulnerabilità consente di accedere al contenuto della scheda SD attraverso un web server che ascolta sulla porta 80, senza autenticazione. Ciò è possibile perché, al momento dell’inserimento della scheda, un link simbolico alla directory della scheda viene automaticamente creato nella directory www del web server. Questo bug è stato corretto con la patch del 29 gennaio 2022.
Ti potrebbe interessare
31 mar 2022