Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

Red Hot Cyber

Un bug di 3 anni sulle Wyze Cam, permetteva l’accesso a immagini e video archiviati.

1 Aprile 2022 08:57

Bitdefender ha rilevato delle vulnerabilità all’interno delle telecamere di sicurezza di Wyze Cam, dove si è scoperto che uno dei bug esisteva nel codice da circa tre anni e consentiva l’accesso remoto a video e immagini archiviati sulle schede di memoria locali delle fotocamere, senza autenticazione.

Un bug a cui non è stato ancora assegnato un identificatore CVE ha consentito l’accesso al contenuto della scheda SD nella telecamera tramite un server web in ascolto sulla porta 80.

Il fatto è che quando si inserisce una scheda SD in una Wyze Cam, un collegamento simbolico ad essa viene creato automaticamente nella directory www che è servita da un server web ma non ha restrizioni di accesso.

Supporta Red Hot Cyber attraverso
  • L'acquisto del fumetto sul cybersecurity awareness (Primo episodio)
  • La sponsorizzazione della RHC Conference 2024
  • L'Acquisto di stock di fumetti sul Cybersecurity Awareness personalizzabili
  • La realizzazione di una puntata del fumetto BETTI-RHC
  • La realizzazione di strisce a fumetti brandizzate
  • Seguendo RHC su LinkedIn
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Google News

  • Iscrivendoti alla nostra newsletter

    Oltre al video, all’audio e alle immagini ricevuti dalla telecamera, la scheda SD memorizza anche tutti i registri del dispositivo, che contengono l’UID e l’ENR (chiave di crittografia AES). La divulgazione di questi dati consentirà a un utente malintenzionato di ottenere l’accesso remoto senza ostacoli al dispositivo.

    È interessante notare che la vulnerabilità è stata scoperta dai ricercatori di Bitdefender nel marzo 2019 insieme ad altri due problemi relativi al bypass dell’autenticazione (CVE-2019-9564) e al controllo remoto (CVE-2019-12266). 

    Questi bug sono stati corretti dal produttore nel 2019-2020 e le patch sono state incluse nelle versioni firmware aggiornate.

    Anche il terzo e più pericoloso bug relativo alla scheda SD ha ricevuto una correzione, ma è stato rilasciato solo di recente, il 29 gennaio 2022. Considerando che tali dispositivi vengono solitamente utilizzati con configurazioni di default, è probabile che la maggior parte delle Wyze Cam stia ancora eseguendo del firmware vulnerabile.

    Vale la pena ricordare che gli aggiornamenti sono disponibili solo per Wyze Cam v2 e v3 rilasciati a febbraio 2018 e ottobre 2020. Wyze Cam v1, rilasciato nell’agosto 2017, non ha ricevuto alcuna patch poiché il supporto per questo modello è stato interrotto alla fine del 2020.

    Di conseguenza, gli esperti di Bitdefender consigliano agli utenti di abbandonare Wyze Cam v1 il prima possibile e di smettere del tutto di utilizzare fotocamere obsolete, mentre il resto dovrebbe aggiornare il firmware il prima possibile.