Wyze攝像頭曝出大漏洞，近三年時間才修復

近日，某暢銷的攝像頭品牌Wyze Cam被曝存在三個嚴重的安全漏洞，黑客利用這些漏洞可以執行任意代碼，完全控制攝像頭，并且訪問設備中的視頻資源。更糟糕的是，這些漏洞是在三年前被發現的，最后一個漏洞直到近段時間才完成修復。

這三個安全漏洞的具體信息如下：

漏洞一：CVE-2019-9564，可繞過身份安全驗證；

漏洞二：CVE-2019-12266，基于堆棧的緩沖區溢出，可遠程控制攝像頭

漏洞三：無編號，可遠程接管設備，并訪問SD卡中的視頻資源；

如果黑客將以上三個漏洞綜合利用，那么就可以輕松繞過設備的身份驗證，入侵目標攝像頭，最終實現實時監控攝像頭。這意味著，使用者的一舉一動都會清晰的出現在黑客的視野中，再無任何的隱私。

羅馬尼亞網絡安全公司 Bitdefender發布的報告顯示，安全研究人員最早發現了這些漏洞，并在2019年5月就向供應商報告了漏洞詳情，Wyze分別在2019 年9月和2020年11月發布了修復CVE-2019-9564和 CVE-2019-12266的補丁。

2022年1月底，Wyze終于發布了固件更新，解決了攻擊者不經身份驗證，即可訪問SD卡內容的問題。安全專家表示，目前這些漏洞會影響三個版本的Wyze Cam攝像頭，其中第一個版本已經停產，因此不會收到解決上述漏洞問題的安全更新。

這意味著，正在使用且未來繼續使用第一個版本的Wyze Cam攝像頭將會一直處于風險之中，安全性無法得到保證。這對正在很多用戶都將會是一個災難，尤其是家庭用戶，他們所有的隱私都有可能被黑客竊取。

因此，Bitdefenders表示，家庭用戶應密切關注物聯網設備，并盡可能將它們與本地或訪客網絡隔離開來。這可以通過專門為物聯網設備設置專用 SSID 來完成，或者如果路由器不支持創建額外的 SSID，則將它們移動到訪客網絡。

參考來源

https://securityaffairs.co/wordpress/129677/hacking/wyze-cam-flaws-allow-takeover.html