前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Wyze摄像头曝出大漏洞,近三年时间才修复

Wyze摄像头曝出大漏洞,近三年时间才修复

作者头像
FB客服
发布于 2022-04-12 01:13:44
发布于 2022-04-12 01:13:44
4960
举报
文章被收录于专栏:FreeBufFreeBuf

近日,某畅销的摄像头品牌Wyze Cam被曝存在三个严重的安全漏洞,黑客利用这些漏洞可以执行任意代码,完全控制摄像头,并且访问设备中的视频资源。更糟糕的是,这些漏洞是在三年前被发现的,最后一个漏洞直到近段时间才完成修复。

这三个安全漏洞的具体信息如下:

漏洞一:CVE-2019-9564,可绕过身份安全验证; 漏洞二:CVE-2019-12266,基于堆栈的缓冲区溢出,可远程控制摄像头 漏洞三:无编号,可远程接管设备,并访问SD卡中的视频资源;

如果黑客将以上三个漏洞综合利用,那么就可以轻松绕过设备的身份验证,入侵目标摄像头,最终实现实时监控摄像头。这意味着,使用者的一举一动都会清晰的出现在黑客的视野中,再无任何的隐私。

罗马尼亚网络安全公司 Bitdefender发布的报告显示,安全研究人员最早发现了这些漏洞,并在2019年5月就向供应商报告了漏洞详情,Wyze分别在2019 年9月和2020年11月发布了修复CVE-2019-9564和 CVE-2019-12266的补丁。

2022年1月底,Wyze终于发布了固件更新,解决了攻击者不经身份验证,即可访问SD卡内容的问题。安全专家表示,目前这些漏洞会影响三个版本的Wyze Cam摄像头,其中第一个版本已经停产,因此不会收到解决上述漏洞问题的安全更新。

这意味着,正在使用且未来继续使用第一个版本的Wyze Cam摄像头将会一直处于风险之中,安全性无法得到保证。这对正在很多用户都将会是一个灾难,尤其是家庭用户,他们所有的隐私都有可能被黑客窃取。

因此,Bitdefenders表示,家庭用户应密切关注物联网设备,并尽可能将它们与本地或访客网络隔离开来。这可以通过专门为物联网设备设置专用 SSID 来完成,或者如果路由器不支持创建额外的 SSID,则将它们移动到访客网络。

参考来源

https://securityaffairs.co/wordpress/129677/hacking/wyze-cam-flaws-allow-takeover.html

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-04-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
请立刻升级!大华摄像头2个漏洞PoC已在网上泄露
据Security affairs消息,大华摄像头中的两个漏洞PoC(概念验证程序)已在网络上泄露,漏洞编号为CVE-2021-33044 和 CVE-2021-33045,攻击者可通过构建恶意数据包来绕过设备身份验证。
FB客服
2021/10/21
5.4K0
Axis摄像头存在安全缺陷,三个漏洞即可接管
网络安全公司VDOO的研究人员近期发现了几个漏洞,这些漏洞影响Axis近400台安全摄像机。
FB客服
2018/07/30
1.3K0
Axis摄像头存在安全缺陷,三个漏洞即可接管
Geutebrück网络摄像头被曝多个高危漏洞,已发布固件更新
德国 Geutebrück 网络摄像头被曝多个漏洞,但研究人员怀疑其它厂商(Ganz、Cap、Visualint、THRIVE Intelligence 和 UDP Technology)的网络摄像头也在使用同样的固件,也可能受这些漏洞威胁 。 研究人员目前只能证实这些漏洞影响了Geutebrück G-Cam/EFD-2250 和 Topline TopFD-2125 网络摄像头。这两款产品均已停产,但 Geutebrück 为此已针对较新的 G-Cam 系列产品发布了固件版本 1.12.0.19,以修复
安恒网络空间安全讲武堂
2018/04/18
8880
Geutebrück网络摄像头被曝多个高危漏洞,已发布固件更新
网络安全宣传周 - 网络摄像头窃密
随着物联网技术的快速发展,网络摄像头在家庭、企业、公共场所等各个领域得到了广泛应用。然而,这些摄像头也成为了网络攻击的潜在目标,其权限和信号可能被黑客获取,导致隐私泄露和安全隐患。
Khan安全团队
2024/08/18
3690
浅谈摄像头有关的安全问题
随着物联网进程加快,作为家庭安防设备的智能摄像头正走进千家万户。网上出现公开贩卖破解智能摄像头的教程和软件。同时,有不法分子利用一些智能摄像头存在的安全漏洞,窥视他人家庭隐私生活,录制后在网上公开贩卖。[1]
FB客服
2019/06/18
2.8K0
浅谈摄像头有关的安全问题
中国深圳一家厂商的智能摄像头曝出漏洞:至少 17.5 万设备可被远程攻击
安全企业 Bitdefender 和 Checkmarx 均发布报告表示,安全研究员在多个常用智能摄像头中发现远程侵入漏洞,涉及 VStarcam、Loftek、以及 Neo IP camera。其中的 Neo IP camera 就是中国深圳厂商丽鸥电子 (Neo Electronics)生产的智能摄像头设备,此次安全企业提供的报告中具体列出了丽鸥电子的两款产品:iDoorbell 以及 Neo Coolcam NIP-22 两种摄像头均存在缓冲区溢出问题,受影响的设备可以被攻击者远程入侵,执行任意代码并
FB客服
2018/02/28
1.6K0
中国深圳一家厂商的智能摄像头曝出漏洞:至少 17.5 万设备可被远程攻击
网安大事记 | 2021年度漏洞利用事件汇总
网络时代,万物互联,人们在享受数字生活带来的福利时,背后隐藏的安全漏洞也正时刻构成威胁,只要技术是一把双刃剑,漏洞就将伴随信息技术的不断发展,与之相对应的,一些网络黑客对漏洞的利用技术也在提升,攻击事件变得越发频繁。
雨笋教育
2022/01/25
2.2K0
网安大事记 | 2021年度漏洞利用事件汇总
Android被曝严重相机漏洞!锁屏也能偷拍偷录,或监视数亿用户
摄像头,已经从手机的附带功能,升级为记录生活的一种方式。面对金黄的银杏林、枝头的初雪、和朋友相聚的火锅,我们都会拿出手机,打开摄像头拍照或者录制vlog,这已经是我们观看、记录和表达世界的渠道。
新智元
2019/11/27
2.1K0
Android被曝严重相机漏洞!锁屏也能偷拍偷录,或监视数亿用户
物联网安全漏洞案例研究与解决方案
随着物联网技术的不断推进,基于物联网的设备在我们的生活中越来越普及,但同时设备漏洞也成为了很大的隐患。
天钧
2019/11/25
2.5K0
酷视(NEO Coolcam)网络摄像头登录绕过及多个基于堆栈溢出的远程代码执行漏洞及数据分析报告
深圳市丽欧电子有限公司(NEO Coolcam,以下简称酷视)[1],是一家集网络数码产品研发、生产、营销于一体的高新技术企业,是国内最早进入网络摄像头领域的专业厂商之一。2004年成立国内摄像头研发中心,并取得多项国家专利,产品通过了国家质量检测部门的认证和CE、FCC等国际标准认证。
Seebug漏洞平台
2018/08/16
1.5K0
酷视(NEO Coolcam)网络摄像头登录绕过及多个基于堆栈溢出的远程代码执行漏洞及数据分析报告
Win10早期版本下月终止服务、百万医疗设备存在漏洞风险|全球网络安全热点
罗马尼亚执法当局宣布逮捕两名作为REvil勒索软件家族成员的人,这对历史上最多产的网络犯罪团伙之一造成了沉重打击。
腾讯安全
2021/11/10
8290
Win10早期版本下月终止服务、百万医疗设备存在漏洞风险|全球网络安全热点
安卓用户隐私被PhoneSpy入侵、Palo Alto安全设备现零日漏洞|全球网络安全热点
周三,Zimperium zLabs发布了一份关于PhoneSpy的新报告,PhoneSpy是一种间谍软件,旨在渗透在谷歌Android操作系统上运行的手机。
腾讯安全
2021/11/11
7780
安卓用户隐私被PhoneSpy入侵、Palo Alto安全设备现零日漏洞|全球网络安全热点
NSA公布国内被高频利用的25个漏洞
美国国家安全局(NSA)发布了一份报告,并公布了25个“中国黑客”在野攻击中利用的漏洞,其中包括已经被修复的知名漏洞。
FB客服
2020/11/06
1K0
谈谈物联网与摄像头安全
近日,Instagram的月活跃用户达到了5亿人次,Facebook又是Instagram的老东家,Facebook CEO扎克伯格本人自然也是非常高兴,他特意在网上传了一张庆祝照。 然而细心的人发现
FB客服
2018/02/08
1K0
谈谈物联网与摄像头安全
2018 年 IoT 那些事儿
本文作者:murphyzhang、xmy、fen 2018年,是 IoT 高速发展的一年,从空调到电灯,从打印机到智能电视,从路由器到监控摄像头统统都开始上网。随着 5G 网络的发展,我们身边的 IoT 设备会越来越多。与此同时,IoT 的安全问题也慢慢显露出来。 腾讯安全云鼎实验室对 IoT 安全进行了长期关注,本文通过云鼎实验室听风威胁感知平台[注1]收集的 IoT 安全情报进行分析,从 IoT 的发展现状、IoT 攻击的常见设备、IoT 攻击的主要地区和 IoT 恶意软件的传播方式等方面进行介绍。
云鼎实验室
2018/12/30
1.2K0
2018 年 IoT 那些事儿
“赏金猎人”半年内发现三星手机17个漏洞,可被用于间谍监听
一位白帽黑客向三星提交了多达17个漏洞,这些漏洞可能被用于间谍活动或提权控制系统,该黑客由此获得三星近3万美元的漏洞赏金。目前,三星正在修复这些漏洞。
FB客服
2021/07/02
5980
开源软件又出大事件,ownCloud 曝出三个严重漏洞
开源文件共享软件 ownCloud 近日警告称存在三个严重安全漏洞,其中一个漏洞可能会暴漏管理员密码和邮件服务器凭证。
FB客服
2023/11/28
4890
开源软件又出大事件,ownCloud 曝出三个严重漏洞
以某家用摄像头测评入手谈物联网智能家居安全
随着技术的发展、步入5G时代万物互联,物联网应用渗透到工作和生活的方方面面。智能摄像头作为身份认证和安防等重要环节,在智能家居、汽车、无人机、机器人、AR 等已有广泛使用。同时,有不法分子利用一些智能摄像头存在的安全漏洞,窥视他人家庭隐私生活,录制后在网上公开贩卖。
FB客服
2019/08/20
7770
苹果曝严重安全漏洞,喜提热搜第一
据媒体报道,苹果公司在周三(8月17日)发布了两份安全报告,承认公司的智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重的安全漏洞。 公开信息查询显示,该漏洞报告时间为 2022年6月9日,漏洞编号分别是CVE-2022-32894和CVE-2022-32893,主要影响以下两部分: 内核:应用程序或许能够以内核权限执行任意代码。 Webkit:处理恶意制作的网页内容可能会导致任意代码执行。 这些漏洞一旦被利用,黑客可直接获得设备的管理权限。苹果也指出,该漏洞很大可能已经被利用,强烈督
FB客服
2023/03/30
4130
苹果曝严重安全漏洞,喜提热搜第一
大华摄像头backdoor,漏洞?
想看摄像头么?我猜测会利用漏洞的你在电脑前肯定发出猥琐的笑声。没错,搞安全就是要猥琐。 和同事们出完这份报告后,大华股票没有跌,没错....因为停牌了。 而今天刚好POC可以放,就放出来耍耍吧。 摄像头的漏洞比寻常web的漏洞更刺激,因为可以做一些不可描述的事情,邪恶吧。 ------------------------------------------- 00x1 升级补丁不当 在03月06日的时候,中国浙江的一家安全摄像头/DVR制造商大华科技(Dahua Technology)针对旗下的不少产品推送
lonelyvaf
2018/06/07
6.4K0
推荐阅读
相关推荐
请立刻升级!大华摄像头2个漏洞PoC已在网上泄露
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档