多个Wyze 摄像头漏洞可导致攻击者接管设备并访问视频

最新推荐文章于 2024-08-31 02:02:33 发布
最新推荐文章于 2024-08-31 02:02:33 发布
阅读量610 收藏 1
点赞数
文章标签: 网络 java 安全 大数据 人工智能
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247511227&idx=4&sn=6f352ab9a489722b06e9f7b65f2f1ebd&chksm=ea949dd1dde314c7f99397ef312b0074bbd05b5067a602260b54dfcdea9b0b7b511b7d4dc228&scene=126&&sessionid=0
版权

18b07a4eed86b9dc07ea9ea92c92e06b.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

27208f7989c937fbecd66cc86023c380.png

热门 Wyze Cam 设备中存在三个漏洞,可导致恶意人员执行任意代码、访问摄像头并越权读取SD卡,而距离漏洞初次发现近3年后,越权读取SD卡的问题仍未解决。

14624785683462d7cf648004849d47b6.png

这些漏洞和认证绕过 (CVE-2019-9564)、因栈缓冲区溢出导致的远程执行 (CVE-2019-12266) 和SD卡内容未认证访问(无CVE)有关。成功利用第一个漏洞可导致外部攻击者完全控制设备,包括禁用SD卡录音、开启/关闭摄像头等,还可以结合利用第二个漏洞查看视频和视频内容。

罗马尼亚网络安全公司 Bitdefender 发现了这些漏洞,早在2019年5月就告知Wyze,2019年9月和2020年11月,该厂商分别修复了第一个和第二个漏洞。但直到2022年1月29日,Wyze 才发布了固件更新,修复了和SD卡内容未认证访问相关的问题,大概同时该厂商停止售卖版本1产品。

Bitdefender 公司的IT安全总监 Dan Berte 就长时间后漏洞才修复的问题回应称,“从我们的角度来看,我们仅限于当时Wyze能做什么,当时并未取得联系。我们在联系到厂商之前决定不披露漏洞,以确保修复方案存在。当厂商最终回复后,我们根据 Wyze 给出的令人信服的案例提供了更多的打补丁时间。”这意味着仅有 Wyze Cam 版本2和3已修复上述漏洞,而版本1永久性地被暴露到潜在风险中。

研究人员提醒称,“家庭用户应该密切关注物联网设备并尽可能和局域或guest网络隔离。可以为物联网设备设置专门的SSID,或者如果路由器不支持创建其它SSID,则将它们迁移到guest网络。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

很多IP摄像头厂商都在用的固件中存在多个严重漏洞

突发:Verkada安全摄像头失陷,特斯拉Cloudflare等2万多客户受影响

谷歌三星安卓摄像头应用含高危漏洞变身监控器,影响数亿设备(PoC)

Guardzilla 家庭摄像头录像可遭任何人访问

NVR 监控系统中出现严重的 RCE Peekaboo bug,100多个摄像头品牌受影响(PoC 已出)

原文链接

https://thehackernews.com/2022/03/bugs-in-wyze-cams-could-let-attackers.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

50bdbec10d82063a5eea33e32fc9a5ff.png

8dc728737e729e67b9a152462fcb859a.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   0ea0efdebf2c3f1c3405a2175c11d5fd.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
漏洞复现】Hikvision摄像头产品代码执行漏洞(CVE-2021-36260)
晚风不及你
01-20 4429
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。
危险!Wyze 摄像头安全漏洞致1.3万用户隐私遭窥探
zhianwangluo的博客
02-23 669
最近,一则关于 Wyze 摄像头再次出现安全漏洞的新闻引起了人们的广泛关注。据报道,该安全漏洞导致约1.3万用户的摄像头受到了未经授权的访问,使得这些用户的隐私信息遭到了窥视。这一事件再次引发了人们对网络安全的关注和讨论。网络安全不仅仅是一个个人或企业的问题,更是社会整体稳定和发展的重要保障。以下是几个关于网络安全重要性的方面:1.个人隐私保护:网络安全直接关系到个人隐私的保护。
AVTECH IP摄像头漏洞已存在多年但未修复 被纳入僵尸网络
最新发布
smellycat000的专栏
08-31 278
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Akamai 公司的研究员 Kyle Lefton、Larry Cashdollar 和AVTECH Aline Eliovich 表示,AVTECH 公司的闭路电视 (CCTV) 摄像头中存在已有多年历史的一个高危命令注入漏洞 (CVE-2024-7029),可导致远程代码执行 (RCE) 后果。该漏洞的CVSS评分为8.7。CISA在本月早些...
城市摄像头安全漏洞
andychuen的专栏
01-02 2429
1.摄像头安全漏洞:弱口令、使用相同固件、分布广易受攻击   网络安全创新企业华顺信安,于本周四发布《网络空间测绘系列—2018年摄像头安全报告》。这是首个基于国内网络空间测绘技术的摄像头安全报告。     互联网摄像头暴露情况   报告显示,摄像头已经无所不在,全球228个国家和地区,8063个城市,2635万个摄像头暴露在公网。DDoS攻击、机构安全风险、个人隐私泄露等事件层...
海康摄像头CVE-2021-36260漏洞复现
热门推荐
剁椒鱼头没剁椒的博客
01-06 2万+
攻击者利用该漏洞可以用无限制的 root shell 来完全控制设备,即使设备的所有者受限于有限的受保护 shell(psh)。除了入侵 IP 摄像头外,还可以访问和攻击内部网络。该漏洞的利用并不需要用户交互,攻击者只需要访问 http 或 HTTPS 服务器端口(80/443)即可利用该漏洞,无需用户名、密码、以及其他操作。摄像头本身也不会检测到任何登录信息。
wyze.zip
11-15
Wyze 可能是一个科技公司,专注于智能设备、物联网(IoT)或者智能家居产品,如摄像头、传感器等。因此,这个压缩包可能包含了与 Wyze 设备相关的软件、固件更新、配置文件、日志数据或者是用户手册等相关资料。 在...
homebridge-dafang:小米Dayong Wyze Cam IP摄像机的Homebridge插件=> Hey Siri,开始视频录制
02-03
小米大方/ Wyze相机的Homebridge插件 安装 在设备上安装ffmpeg $ brew install ffmpeg --with-openh264 --with-fdk-aac 使用以下命令安装插件: $ npm install -g --unsafe-perm homebridge $ npm install -g --...
homebridge-wyze-connected-home:用于Homebridge的Wyze Connected Home插件
02-04
该插件将对Wyze Connected Home设备的支持添加到。 支持的设备 灯泡 插头 接触传感器 运动传感器 有关我们的版本更新的更多信息,请检查我们的。 组态 使用Homebridge Config UI X中的设置UI来配置您的Wyze帐户,或...
openipc-firmware:Wyze相机的OpenIPC固件
05-23
- OpenIPC for Wyze V2 is forked from dafang-hacks and is based on a proprietary Wyze firmware (demo.bin) with implementations allowing the end user to take full control of their Wyze camera. ...
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
02-10
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
WYZE App for PC Windows or Mac-crx插件
04-03
语言:English (United States) 想要在Windows或Mac上的PC上安装Wyze应用...WYZE应用程序是一个集线器,可充当WYZE相机的链接。 Bluestacks对您的计算机安全吗? 是的,Bluestacks可以安全地用于下载PC的WYZE应用程序。
摄像头漏洞检测
jorhelp的博客
06-06 2262
学校、商场、咖啡厅甚至一些家庭,这些设备维护不够完善的地方,总会存在网络安全隐患。对于网络摄像头设备安全性显得尤为重要,因为它会泄露我们的隐私。然而总会有些人因为懒得打补丁,或者是使用弱口令导致摄像头被黑客造访,变成了现场直播。这个开源的项目:Ingram 可以帮助我们快速检测网段中的摄像头设备是否存在漏洞或者弱口令问题。以便于及时修复,避免造成损失。严厉声明:该项目仅供学习与安全检测,请大家心存正义,切勿用于非法用途。安装:...
GOOGLE的摄像头漏洞
fcxiao的专栏
09-17 2431
GOOGLE的摄像头漏洞 inurl:"ViewerFrame?Mode=" GOOGLE上面输入这段代码,就可以找到有web功能的摄像头,传说全世界有好几万部。还要下载一个插件就可以偷窥人家了。 建议大家把好的地点网址贴出来分享! http://flower-center.miemasu.net ... tion&Language=1 http://210.134.20.21/ViewerFra
漏洞复现】Hikvision摄像头产品越权漏洞(CVE-2017-7921)
晚风不及你
01-20 1885
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。
海康威视(Hikvision) 摄像头-CVE-2017-7921漏洞复现
m0_49025459的博客
07-04 6375
许多HikvisionIP摄像机包含一个后门,允许未经身份验证的模拟任何配置的用户帐户。
虹科案例|安全性防护平台-海康威视摄像机中的重大漏洞
Hongke_IIOT的博客
05-19 3048
前言 我们Vdoo的安全研究团队对领先的物联网产品和安全设备进行了大规模的安全研究,为了提高效率和透明度,此过程设备供应商也参与其中。 这项研究的一部分是研究人员在多家供应商的设备中发现了零日漏洞。这些漏洞我们已经负责任地以最佳方式向供应商披露,并将在披露期限结束后逐步分享。 我们发现易受攻击设备的供应商之一是海康威视。研究团队在海康威视安全摄像机中发现了一个漏洞攻击者利用该漏洞能成功获取摄像机IP地址,并且使用摄像机的root特权(通过LAN或Internet)远程执行代码。虹科Vdoo负责任地披露了
NUUO网络摄像头(NVR)RCE漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-03 712
NUUO Network Video Recorder(NVR)是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备的__debugging_center_utils___.php文件存在未授权远程命令执行漏洞攻击者可在没有任何权限的情况下通过log参数执行任意命令。没有人规定,一朵花一定要成长为向日葵或者玫瑰。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值