Bitdefender Labs entdecken Sicherheitslücken in der Wyze Cam IoT-Kamera

Bitdefender hat Sicherheitslücken der Wyze CAM IP-Videokameras entdeckt. Angreifer können den Authentifizierungsprozess umgehen, die komplette Kontrolle über das Gerät erlangen und Informationen sowie Konfigurationsdaten aus der SD-Karte der Kamera herauslesen sowie weiteren Schadcode installieren. Durch ein Update lässt sich die Lücke ab der Wyze Cam V2 schließen. Für die erste Version der Kamera ist ein Patchen aber nicht möglich.

Überwachungskameras liefern sensible Inhalte und das Auswerten der Daten unterliegt den strengen Vorgaben des Datenschutzes. Eine Sicherheitslücke, die den Zugang auf aufgenommene Videos ermöglicht, gefährdet daher nicht nur die Sicherheit eines Gebäudes, sondern kann auch Persönlichkeitsrechte verletzen. Eine vernetzte Kamera als Internet-of-Things (IoT)-Hardware braucht denselben Schutz wie ein PC-Endpunkt.

Mängel in der Authentifikation sind bei der ersten Version der Wyze CAM wie so oft in der IoT-Welt das Einstiegstor für die Angreifer. Durch einen Fehler im ursprünglichen Authentifikationsverfahren können Dritte den Login umgehen, ohne den dazu eigentlich notwendigen „enr“-Wert zu kennen. So kann ein Hacker im Fernmodus das Gerät vollständig kontrollieren, das Objektiv frei in seinem Sinne bewegen (pan/tilt), die Aufnahme stoppen oder die Kamera vollständig ausschalten.

Zunächst kann der Angreifer auf die verschlüsselten Inhalte nicht zugreifen. Ein nachfolgender Stack Buffer Overflow ermöglicht es ihm aber im nächsten Schritt, im Fernzugriff Code ausführen und die Videos zu betrachten.

Zusätzlich ist der unerlaubte Zugriff auf alle Inhalte der SD-Karte einer Kamera nötig. Hier rufen die unberechtigten Zuschauer den Inhalt über einen Symlink auf die Directory, der automatisch hergestellt wird, ab. Die Logfiles der SD-Karte lassen sich auslesen und geben den „enr“-Wert zur Authentifikation und die UID zum Vernetzen der Kamera preis.

Für die erste Version der Wyze Cam konnte der Hersteller aus verschiedenen Gründen keinen Patch mehr liefern, die Wyze Cam V1 vertreibt er nicht mehr. Kunden, die sie nutzen, sollten sie austauschen.

Die ausführliche Analyse der Schwachstelle lesen sie hier: https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-wyze-cam-iot-device/ .

Über die BitDefender GmbH

Bitdefender bietet Cybersicherheits-Lösungen, die sich am Markt durch ihre Effizienz, Wirkung und einfache Anwendung auszeichnen. Das Unternehmen bietet Lösungen für kleine Unternehmen, mittelständische Betriebe und für den privaten Verbraucher. Bitdefender setzt sich zum Ziel, ein weltweit vertrauenswürdiger Anbieter von Cybersicherheitslösungen zu sein und Organisationen sowie Einzelpersonen weltweit vor Cyberangriffen zu schützen. Dies ist ein wichtiger Beitrag, die digitale Erfahrung zu transformieren und zu verbessern.

www.bitdefender.de

Firmenkontakt und Herausgeber der Meldung:

BitDefender GmbH
Lohbachstrasse 12
58239 Schwerte
Telefon: +49 (2304) 945-160
Telefax: +49 (2304) 945-169
http://www.bitdefender.de

Ansprechpartner:
Guillermo Luz-y-Graf
Telefon: +49 (89) 2152644-85
E-Mail: bitdefender@touchdownpr.com
Tim Friedrichs
Telefon: +49 (151) 61546910
E-Mail: tfriedrichs@bitdefender.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel