Überwachungskameras liefern sensible Inhalte und das Auswerten der Daten unterliegt den strengen Vorgaben des Datenschutzes. Eine Sicherheitslücke, die den Zugang auf aufgenommene Videos ermöglicht, gefährdet daher nicht nur die Sicherheit eines Gebäudes, sondern kann auch Persönlichkeitsrechte verletzen. Eine vernetzte Kamera als Internet-of-Things (IoT)-Hardware braucht denselben Schutz wie ein PC-Endpunkt.
Mängel in der Authentifikation sind bei der ersten Version der Wyze CAM wie so oft in der IoT-Welt das Einstiegstor für die Angreifer. Durch einen Fehler im ursprünglichen Authentifikationsverfahren können Dritte den Login umgehen, ohne den dazu eigentlich notwendigen „enr“-Wert zu kennen. So kann ein Hacker im Fernmodus das Gerät vollständig kontrollieren, das Objektiv frei in seinem Sinne bewegen (pan/tilt), die Aufnahme stoppen oder die Kamera vollständig ausschalten.
Zunächst kann der Angreifer auf die verschlüsselten Inhalte nicht zugreifen. Ein nachfolgender Stack Buffer Overflow ermöglicht es ihm aber im nächsten Schritt, im Fernzugriff Code ausführen und die Videos zu betrachten.
Zusätzlich ist der unerlaubte Zugriff auf alle Inhalte der SD-Karte einer Kamera nötig. Hier rufen die unberechtigten Zuschauer den Inhalt über einen Symlink auf die Directory, der automatisch hergestellt wird, ab. Die Logfiles der SD-Karte lassen sich auslesen und geben den „enr“-Wert zur Authentifikation und die UID zum Vernetzen der Kamera preis.
Für die erste Version der Wyze Cam konnte der Hersteller aus verschiedenen Gründen keinen Patch mehr liefern, die Wyze Cam V1 vertreibt er nicht mehr. Kunden, die sie nutzen, sollten sie austauschen.
Die ausführliche Analyse der Schwachstelle lesen sie hier: https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-wyze-cam-iot-device/ .
Bitdefender bietet Cybersicherheits-Lösungen, die sich am Markt durch ihre Effizienz, Wirkung und einfache Anwendung auszeichnen. Das Unternehmen bietet Lösungen für kleine Unternehmen, mittelständische Betriebe und für den privaten Verbraucher. Bitdefender setzt sich zum Ziel, ein weltweit vertrauenswürdiger Anbieter von Cybersicherheitslösungen zu sein und Organisationen sowie Einzelpersonen weltweit vor Cyberangriffen zu schützen. Dies ist ein wichtiger Beitrag, die digitale Erfahrung zu transformieren und zu verbessern.
www.bitdefender.de
BitDefender GmbH
Lohbachstrasse 12
58239 Schwerte
Telefon: +49 (2304) 945-160
Telefax: +49 (2304) 945-169
http://www.bitdefender.de
Telefon: +49 (89) 2152644-85
E-Mail: bitdefender@touchdownpr.com
Telefon: +49 (151) 61546910
E-Mail: tfriedrichs@bitdefender.com