软餐获悉,智能摄像头厂商 Wyze Labs 再次陷入舆论风波。网络安全机构 Bitdefender 本周早些时候披露了来自 Wyze 安全摄像头的一系列安全漏洞。令人诧异的是,Bitdefender 表示,在发现漏洞后,它曾两次联系 Wyze 公司,但均未受到任何答复。
Bitdefender 表示,曾经分别在 2019 年 3 月 6 日和 2019 年 3 月 15 日向 Wyze 报告上述漏洞,没有收到任何回复。 Wyze 后来仅仅部分修复了登录漏洞,直到 2020 年 11 月,Wyze 才最终与 Bitdefender 进行了沟通,但直到 2022 年 1 月才部署完成全部的修复。
面对 Bitdefender 的报告,Wyze 官方从未向其客户承认存在上述漏洞,甚至对媒体表示已 “完全纠正了这个问题”,但实际上,初代 Wyze Cam 从未获得修复,并且并未对外披露。
Bitdefender 报告的漏洞简介如下:
第一个漏洞被跟踪为 CVE-2019-9564,允许黑客绕过 Wyze 设备的登录并获得对摄像头控制的访问权限。此外,Bitdefender 还发现了一个堆栈缓冲区溢出漏洞 ( CVE-2019-12266 ),当与第一个安全漏洞结合使用时,可用于远程访问摄像机的视频源。
受这些漏洞影响的 Wyze 设备型号包括 Wyze Cam Pan v2(4.49.1.47 之前)、 Wyze Cam v2(4.9.8.1002 之前)、 Wyze Cam v3(4.36.8.32 之前)),以及初代 Wyze Cam(所有固件版本)。
2019 年底,Wyze Labs 还曾曝出导致 240 万用户数据泄露的安全事件。
