Wyze Camのバグにより、攻撃者がデバイスを乗っ取ってビデオフィードにアクセスする可能性があります

人気のあるWyzeCamデバイスには、悪意のある攻撃者が任意のコードを実行してカメラフィードにアクセスし、SDカードを不正に読み取ることを許可する、3つのセキュリティ脆弱性が開示されています。
セキュリティ上の欠陥は、認証バイパス（CVE-2019-9564）、スタックベースのバッファオーバーフロー（CVE-2019-12266）に起因するリモートコード実行のバグ、およびSDカードのコンテンツへの認証されていないアクセスのケースに関連しています。
これには、SDカードへの記録の無効化やカメラのオン/オフの切り替え、さらにはCVE-2019-12266とのチェーンによるライブオーディオとビデオの表示が含まれます。
欠点を発見したルーマニアのサイバーセキュリティ会社Bitdefenderは、2019年5月にベンダーに連絡を取り、その後Wyzeが2019年9月と2020年11月にそれぞれCVE-2019-9564とCVE-2019-12266を修正するパッチをリリースしたと述べました。
しかし、シアトルを拠点とするワイヤレスカメラメーカーがバージョン1の販売を停止したのとほぼ同時に、SDカードのコンテンツへの認証されていないアクセスに関連する問題を修正するファームウェアアップデートがリリースされたのは2022年1月29日でした。