Bir Wyze Cam internet kamerası güvenlik açığı, yerel bellek kartlarında depolanan videolara ve görüntülere kimliği doğrulanmamış, uzaktan erişim sağlar ve neredeyse üç yıldır düzeltilmeden kalmıştır.
Bir CVE kimliği atanmamış olan hata, uzak kullanıcıların kameradaki SD kartın içeriğine bir web sunucusu aracılığıyla 80 numaralı bağlantı noktasını dinleyerek kimlik doğrulama gerektirmeden erişmesine izin verdi.
Wyze Cam IoT’ye bir SD kart takıldığında, web sunucusu tarafından sunulan ancak herhangi bir erişim kısıtlaması olmaksızın www dizininde otomatik olarak bir sembolik bağlantı oluşturulur.
SD kart tipik olarak video, resim ve ses kayıtlarını içerir, ancak kullanıcının SD karta kaydetmiş olabileceği çeşitli diğer bilgileri içerebilir.
SD kart ayrıca, UID (benzersiz kimlik numarası) ve ENR (AES şifreleme anahtarı) içeren cihazın tüm günlük dosyalarını da saklar. Bunların ifşası, cihaza engelsiz uzak bağlantılarla sonuçlanabilir.
Kusur, Mart 2019’da Bitdefender’daki araştırmacılar tarafından keşfedildi ve satıcıya iki güvenlik açığı, bir kimlik doğrulama atlama ve bir uzaktan kumanda yürütme hatasıyla birlikte bildirildi.
CVE-2019-9564 olarak izlenen kimlik doğrulama atlama hatası, 24 Eylül 2019’da bir güvenlik güncellemesi aracılığıyla Wyze ekibi tarafından giderildi.
CVE-2019-12266 olarak atanan uzaktan yürütme güvenlik açığı, ilk keşfedilmesinden 21 ay sonra 9 Kasım 2020’de bir uygulama güncellemesiyle düzeltildi.
Grubun en kötü muamelesi, yalnızca 29 Ocak 2022’de Wyze’nin sabit bir ürün yazılımı güncellemesi yaptığında düzeltilen SD kart sorunu için ayrıldı.
Etki ve çözümler
İnternete bağlı cihazların genellikle “ayarla ve unut” zihniyetine göre kullanıldığı göz önüne alındığında, çoğu Wyze Cam sahibi hala savunmasız bir bellenim sürümü çalıştırıyor olabilir.
Kamera modeliniz için güvenilir donanım yazılımı güncellemelerini bulmak için Wyze’nin resmi sitesindeki mevcut sürümlere göz atın. indirme portalı.
Güvenlik güncellemelerinin, Ağustos 2017’de yayınlanan Wyze Cam v1 için değil, sırasıyla Şubat 2018 ve Ekim 2020’de yayınlanan Wyze Cam v2 ve v3 için sunulduğunu belirtmek gerekir.
Eski model 2020’de ömrünün sonuna geldi ve Wyze sorunu o zamana kadar çözmediğinden, bu cihazlar sonsuza kadar istismara açık kalacak.
Bitdefender’ın uyardığı gibi ifşa raporu:
Bu sorun üzerinde iki yıldan fazla çalıştıktan sonra, satıcı tarafındaki lojistik ve donanım kısıtlamaları, ürünün 1. sürümünün durdurulmasına neden oldu ve bu da mevcut sahiplerini kalıcı bir güvenlik açığı penceresinde bıraktı. Kullanıcılara mümkün olan en kısa sürede bu donanım sürümünü kullanmayı bırakmalarını tavsiye ederiz.
Aktif olarak desteklenen bir Wyze ürünü kullanıyorsanız, mevcut üretici yazılımı güncellemelerini uyguladığınızdan, kullanılmadıklarında IoT’lerinizi devre dışı bıraktığınızdan ve yalnızca onlar için ayrı, yalıtılmış bir ağ kurduğunuzdan emin olun.
Wyze’nin siber güvenlik ekibi, BleepingComputer’a hem v2 hem de v3 kameraların en son ürün yazılımı güncellemesiyle tamamen güvenli olduğunu söylerken, bir sözcü şu yorumu paylaştı:
Wyze’da, kullanıcılarımızın bize duyduğu güvene büyük değer veriyoruz ve tüm güvenlik endişelerini ciddiye alıyoruz.
Sistemlerimizin güvenliğini sürekli olarak değerlendiriyor ve müşterilerimizin gizliliğini korumak için uygun önlemleri alıyoruz. Bu güvenlik açıkları hakkında Bitdefender tarafından sağlanan sorumlu açıklamayı takdir ettik. Bitdefender ile çalıştık ve desteklenen ürünlerimizdeki güvenlik sorunlarını düzelttik. Bu güncellemeler, en son uygulama ve ürün yazılımı güncellemelerimizde zaten dağıtılmıştır.