La faille Wyze Cam permet aux pirates d’accéder à distance à vos vidéos enregistrées

Wyze-cam-v2

Une vulnérabilité de la caméra Internet Wyze Cam permet un accès à distance non authentifié aux vidéos et aux images stockées sur des cartes mémoire locales et est restée non corrigée pendant près de trois ans.

Le bug, qui n’a pas reçu d’identifiant CVE, permettait aux utilisateurs distants d’accéder au contenu de la carte SD de la caméra via un serveur Web écoutant sur le port 80 sans nécessiter d’authentification.

Lors de l’insertion d’une carte SD sur la Wyze Cam IoT, un lien symbolique vers celle-ci est automatiquement créé dans le répertoire www, qui est servi par le serveur Web mais sans aucune restriction d’accès.

La carte SD contient généralement des vidéos, des images et des enregistrements audio, mais peut inclure diverses autres informations que l’utilisateur peut avoir enregistrées sur la carte SD.

La carte SD stocke également tous les fichiers journaux de l’appareil, qui contiennent l’UID (numéro d’identification unique) et l’ENR (clé de cryptage AES). Leur divulgation peut entraîner des connexions à distance sans entrave à l’appareil.

La faille a été découverte et signalée au fournisseur par des chercheurs de Bitdefender en mars 2019, ainsi que deux autres vulnérabilités, un contournement d’authentification et une faille d’exécution de contrôle à distance.

La faille de contournement d’authentification identifiée comme CVE-2019-9564 a été corrigée par l’équipe Wyze via une mise à jour de sécurité le 24 septembre 2019.

La vulnérabilité d’exécution à distance, attribuée CVE-2019-12266, a été corrigée via une mise à jour de l’application le 9 novembre 2020, 21 mois après sa découverte initiale.

Le pire traitement du groupe était réservé au problème de la carte SD, qui n’a été résolu que le 29 janvier 2022, lorsque Wyze a poussé une mise à jour du micrologiciel de réparation.

Impact et solutions

Considérant que les appareils connectés à Internet sont généralement utilisés selon l’état d’esprit «régler et oublier», la plupart des propriétaires de Wyze Cam peuvent encore exécuter une version de micrologiciel vulnérable.

Pour localiser les mises à jour fiables du micrologiciel pour votre modèle d’appareil photo, consultez les versions disponibles sur le site officiel de Wyze. portail de téléchargement.

Il convient de noter que les mises à jour de sécurité ont été rendues disponibles uniquement pour Wyze Cam v2 et v3, publiées respectivement en février 2018 et octobre 2020, et non pour Wyze Cam v1, publiée en août 2017.

L’ancien modèle a atteint la fin de sa vie en 2020, et comme Wyze n’avait pas résolu le problème jusque-là, ces appareils resteront vulnérables à l’exploitation pour toujours.

Comme Bitdefender le prévient dans son rapport de divulgation:

Après avoir travaillé pendant plus de deux ans sur ce problème, les limitations logistiques et matérielles du côté du fournisseur ont entraîné l’arrêt de la version 1 du produit, ce qui laisse les propriétaires existants dans une fenêtre permanente de vulnérabilité. Nous conseillons aux utilisateurs de cesser d’utiliser cette version matérielle dès que possible.

Si vous utilisez un produit Wyze activement pris en charge, assurez-vous d’appliquer les mises à jour de firmware disponibles, de désactiver vos IoT lorsqu’ils ne sont pas utilisés et de configurer un réseau séparé et isolé exclusivement pour eux.

L’équipe de cybersécurité de Wyze a déclaré à EZpublish-france.fr que les caméras v2 et v3 sont parfaitement sûres à utiliser avec la dernière mise à jour du micrologiciel, tandis qu’un porte-parole a partagé le commentaire suivant :

Chez Wyze, nous accordons une immense valeur à la confiance de nos utilisateurs et prenons au sérieux tous les problèmes de sécurité.

Nous évaluons constamment la sécurité de nos systèmes et prenons les mesures appropriées pour protéger la vie privée de nos clients. Nous avons apprécié la divulgation responsable fournie par Bitdefender sur ces vulnérabilités. Nous avons travaillé avec Bitdefender et corrigé les problèmes de sécurité de nos produits pris en charge. Ces mises à jour sont déjà déployées dans nos dernières mises à jour d’applications et de micrologiciels.