In den beliebten Wyze-Cam-Geräten wurden drei Sicherheitslücken entdeckt, die es böswilligen Akteuren ermöglichen, beliebigen Code auszuführen und auf die Kameraaufzeichnungen zuzugreifen sowie die SD-Karten unbefugt auszulesen, wobei die letztgenannte Schwachstelle fast drei Jahre nach der ersten Entdeckung nicht behoben wurde.
Bei den Sicherheitslücken handelt es sich um eine Umgehung der Authentifizierung (CVE-2019-9564), einen Fehler bei der Remotecodeausführung aufgrund eines stapelbasierten Pufferüberlaufs (CVE-2019-12266) und einen Fall von unautorisiertem Zugriff auf den Inhalt der SD-Karte (keine CVE).
Wenn die Umgehungsschwachstelle erfolgreich ausgenutzt wird, könnte ein Angreifer von außen die vollständige Kontrolle über das Gerät erlangen, einschließlich der Deaktivierung der Aufzeichnung auf der SD-Karte und des Ein- und Ausschaltens der Kamera, ganz zu schweigen von der Verkettung mit CVE-2019-12266, um die Live-Audio- und Videoübertragungen zu sehen.
Das rumänische Cybersicherheitsunternehmen Bitdefender, das die Schwachstellen entdeckt hatte, meldete sich bereits im Mai 2019 bei Wyze. Wyze veröffentlichte daraufhin im September 2019 und November 2020 Patches zur Behebung von CVE-2019-9564 und CVE-2019-12266.
Aber erst am 29. Januar 2022 wurden Firmware-Updates veröffentlicht, um das Problem mit dem unautorisierten Zugriff auf den Inhalt der SD-Karte zu beheben – etwa zur gleichen Zeit, als der in Seattle ansässige Hersteller der drahtlosen Kamera den Verkauf der Version 1 einstellte.
Das bedeutet auch, dass nur die Versionen 2 und 3 der Wyze Cam gegen die oben genannten Sicherheitslücken gepatcht wurden, während die Version 1 weiterhin potenziellen Risiken ausgesetzt ist.
„Heimanwender sollten IoT-Geräte genau im Auge behalten und sie so weit wie möglich vom lokalen oder Gastnetzwerk isolieren“, mahnten die Forscher. „Dies kann geschehen, indem man eine eigene SSID ausschließlich für IoT-Geräte einrichtet oder sie in das Gastnetzwerk verschiebt, wenn der Router die Einrichtung zusätzlicher SSIDs nicht unterstützt.“