Wyze Cam の重大なセキュリティ欠陥により、ハッカーが簡単に保存されたビデオにアクセスできてしまい、同社が警告を受けてからほぼ 3 年間も修正されなかったことが本日発表された新しいレポートで明らかになった。

さらに、2017 年に発売された Wyze Cam v1 にはパッチが適用されない見込みであるため、使用される限り脆弱性が残ることになります…

Bleeping Computerが報じている。

Wyze Cam インターネット カメラの脆弱性により、ローカル メモリ カードに保存されているビデオや画像に認証されていないリモート アクセスが可能になり、ほぼ 3 年間修正されていない状態が続いています。

このバグには CVE ID が割り当てられていませんが、リモート ユーザーは認証を必要とせずにポート 80 でリッスンしている Web サーバーを介してカメラの SD カードの内容にアクセスできるようになりました。

Wyze Cam IoT に SD カードを挿入すると、そのカードへのシンボリック リンクが www ディレクトリに自動的に作成されます。このシンボリック リンクは Web サーバーによって提供されますが、アクセス制限はありません。

それだけでは十分ではないかのように、事態はさらに悪化します。多くの人が既存のSDカードを再利用していますが、その中には個人情報、特に写真が残っているものもあります。この脆弱性により、カメラで作成されたファイルだけでなく、カード内のすべてのデータにアクセス可能になりました。

最後に、AES 暗号化キーもカードに保存されるため、攻撃者がカメラ フィードにライブアクセスできる可能性があります。

Bitdefenderのセキュリティ研究者は、同社に合計3つの脆弱性を報告しました。Wyze社は1つの脆弱性の修正に6か月、もう1つの脆弱性の修正に21か月、そしてSDカードの脆弱性の修正に2年弱を要しました。v1カメラは未だにパッチが適用されておらず、同社が昨年サポート終了を発表した通り、パッチが適用されることはなさそうです。

同社は2019年、インターネット上に保存されている顧客データベースの保護に失敗し、大規模なセキュリティ侵害に遭った。

Wyzeカメラのセキュリティ侵害により、240万人以上のユーザーの個人情報が大量に漏洩しました。この侵害を検知したTwelveSecurityは、これほど深刻な侵害はかつてなかったと述べています。

同社の生産データベースは両方ともインターネットに完全に公開されていました。その結果、偶然にも中国国外の240万人のユーザーから大量の機密情報が生成されたのです。

現在 Wyze カメラをお持ちの場合は、別のブランドに交換することを検討してください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。