-
14/01/2021
-
19
-
81 bài viết
Lỗ hổng trong camera Wyze cho phép tin tặc truy cập từ xa các video đã lưu
Một lỗ hổng camera Internet Wyze chưa được định danh CVE, cho phép truy cập từ xa vào video và hình ảnh được lưu trữ trên thẻ nhớ, vẫn chưa được vá trong suốt 3 năm qua.
*Thẻ SD thường chứa video, hình ảnh và bản ghi âm nhưng có thể bao gồm nhiều thông tin khác mà người dùng có thể đã lưu trên thẻ SD. Thẻ SD cũng lưu trữ tất cả các tệp nhật ký của thiết bị, chứa UID- số nhận dạng duy nhất, và ENR- khóa mã hóa AES.
Khi lắp thẻ SD vào Wyze Cam IoT, một liên kết sẽ tự động được tạo trong thư mục “www”, cung cấp bởi web server và không có bất kỳ giới hạn truy cập nào. Chính vì vậy, tin tặc có thể kết nối từ xa và không cần xác thực trên thiết bị.
Lỗ hổng này đã được các nhà nghiên cứu tại Bitdefender phát hiện và báo cáo cho nhà cung cấp vào tháng 3 năm 2019, cùng với hai lỗ hổng khác là một lỗ hổng xác thực và một lỗ hổng thực thi điều khiển từ xa:
Do các thiết bị kết nối Internet thường được sử dụng theo “set và forget”, hầu hết chủ sở hữu Wyze Cam có thể vẫn đang chạy phiên bản firmware dễ bị tấn công. Để tìm các bản cập nhật chương trình cơ sở đáng tin cậy cho camera, người dùng có thể xem các bản phát hành có sẵn trên website của Wyze.
Cần lưu ý rằng các bản cập nhật chỉ được cung cấp cho Wyze Cam v2 và v3, được phát hành vào tháng 2 năm 2018 và tháng 10 năm 2020, chứ không phải cho Wyze Cam v1, được phát hành vào tháng 8 năm 2017.
Mô hình cũ hơn đã tạm dừng vào năm 2020 vì Wyze vẫn chưa khắc phục sự cố cho đến thời điểm đó, nên những thiết bị đó sẽ vẫn bị khai thác vĩnh viễn. Như Bitdefender cảnh báo: “Sau hơn hai năm làm việc về vấn đề này, các hạn chế về logistic và phần cứng từ phía nhà cung cấp đã khiến phiên bản 1 của sản phẩm ngừng hoạt động, điều này khiến các chủ sở hữu hiện tại phải chịu lỗ hổng vĩnh viễn. Chúng tôi khuyên người dùng nên ngừng sử dụng phiên bản phần cứng này càng sớm càng tốt. Nếu bạn đang sử dụng sản phẩm Wyze hãy đảm bảo áp dụng các bản cập nhật chương trình có sẵn, hủy kích hoạt các IoT khi không sử dụng và thiết lập một mạng riêng biệt.”
Nhóm an ninh mạng của Wyze cho biết thêm cả camera v2 và v3 đều hoàn toàn an toàn để sử dụng với bản cập nhật chương trình cơ sở mới nhất: “Tại Wyze, chúng tôi đặt niềm tin của người dùng vào chúng tôi và coi trọng sự quan tâm về bảo mật. Chúng tôi liên tục đánh giá tính bảo mật hệ thống và thực hiện các biện pháp thích hợp để bảo vệ quyền riêng tư của khách hàng. Về những công bố do Bitdefender cung cấp, chúng tôi đã xử lý vấn đề trong các sản phẩm được hỗ trợ. Các bản vá này đã được triển khai trong các bản cập nhật ứng dụng và chương trình cơ sở mới nhất.”
Lỗi này cho phép người dùng truy cập nội dung của thẻ SD trong Camera qua một web server đang nghe trên cổng 80 mà không yêu cầu xác thực.*Thẻ SD thường chứa video, hình ảnh và bản ghi âm nhưng có thể bao gồm nhiều thông tin khác mà người dùng có thể đã lưu trên thẻ SD. Thẻ SD cũng lưu trữ tất cả các tệp nhật ký của thiết bị, chứa UID- số nhận dạng duy nhất, và ENR- khóa mã hóa AES.
Khi lắp thẻ SD vào Wyze Cam IoT, một liên kết sẽ tự động được tạo trong thư mục “www”, cung cấp bởi web server và không có bất kỳ giới hạn truy cập nào. Chính vì vậy, tin tặc có thể kết nối từ xa và không cần xác thực trên thiết bị.
Lỗ hổng này đã được các nhà nghiên cứu tại Bitdefender phát hiện và báo cáo cho nhà cung cấp vào tháng 3 năm 2019, cùng với hai lỗ hổng khác là một lỗ hổng xác thực và một lỗ hổng thực thi điều khiển từ xa:
- Nhóm Wyze đã giải quyết lỗ hổng xác thực được theo dõi là CVE-2019-9564 thông qua bản cập nhật vào ngày 24 tháng 9 năm 2019.
- Lỗ hổng thực thi từ xa, được chỉ định CVE-2019-12266, đã được sửa thông qua bản cập nhật ứng dụng vào ngày 9 tháng 11 năm 2020.
- Cách xử lý lỗi liên quan đến thẻ SD, chỉ được khắc phục vào ngày 29 tháng 1 năm 2022, khi Wyze đẩy một bản cập nhật phần mềm sửa lỗi.
Do các thiết bị kết nối Internet thường được sử dụng theo “set và forget”, hầu hết chủ sở hữu Wyze Cam có thể vẫn đang chạy phiên bản firmware dễ bị tấn công. Để tìm các bản cập nhật chương trình cơ sở đáng tin cậy cho camera, người dùng có thể xem các bản phát hành có sẵn trên website của Wyze.
Cần lưu ý rằng các bản cập nhật chỉ được cung cấp cho Wyze Cam v2 và v3, được phát hành vào tháng 2 năm 2018 và tháng 10 năm 2020, chứ không phải cho Wyze Cam v1, được phát hành vào tháng 8 năm 2017.
Mô hình cũ hơn đã tạm dừng vào năm 2020 vì Wyze vẫn chưa khắc phục sự cố cho đến thời điểm đó, nên những thiết bị đó sẽ vẫn bị khai thác vĩnh viễn. Như Bitdefender cảnh báo: “Sau hơn hai năm làm việc về vấn đề này, các hạn chế về logistic và phần cứng từ phía nhà cung cấp đã khiến phiên bản 1 của sản phẩm ngừng hoạt động, điều này khiến các chủ sở hữu hiện tại phải chịu lỗ hổng vĩnh viễn. Chúng tôi khuyên người dùng nên ngừng sử dụng phiên bản phần cứng này càng sớm càng tốt. Nếu bạn đang sử dụng sản phẩm Wyze hãy đảm bảo áp dụng các bản cập nhật chương trình có sẵn, hủy kích hoạt các IoT khi không sử dụng và thiết lập một mạng riêng biệt.”
Nhóm an ninh mạng của Wyze cho biết thêm cả camera v2 và v3 đều hoàn toàn an toàn để sử dụng với bản cập nhật chương trình cơ sở mới nhất: “Tại Wyze, chúng tôi đặt niềm tin của người dùng vào chúng tôi và coi trọng sự quan tâm về bảo mật. Chúng tôi liên tục đánh giá tính bảo mật hệ thống và thực hiện các biện pháp thích hợp để bảo vệ quyền riêng tư của khách hàng. Về những công bố do Bitdefender cung cấp, chúng tôi đã xử lý vấn đề trong các sản phẩm được hỗ trợ. Các bản vá này đã được triển khai trong các bản cập nhật ứng dụng và chương trình cơ sở mới nhất.”
Theo: Bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: