Bitdefender Lab vient de publier les conclusions de ses recherches sur les trois vulnérabilités de la caméra Wyze Cam. L’étude confirme que des attaquants qui utilisent ses trois vulnérabilités pourraient compromettre complètement la caméra, notamment en accédant au flux de la caméra, en injectant un code malveillant et en volant le contenu de la carte SD.
Les vulnérabilités en un coup d’œil :
- Contournement d’authentification (CVE-2019-9564)
- Faille d’exécution du contrôle à distance causée par un débordement de tampon basé sur la pile (CVE-2019-12266)
- Accès non authentifié au contenu de la carte SD
Bitdefender recommande aux utilisateurs d’appliquer le correctif disponible. Les utilisateurs de la caméra première génération, qui n’est plus disponible, sont invités à cesser immédiatement de l’utiliser car il n’est pas possible de la réparer.
Les utilisateurs à domicile doivent surveiller de près les appareils IoT et les isoler autant que possible du réseau local ou invité. Cela peut être fait en configurant un SSID dédié exclusivement pour les appareils IoT, ou en les déplaçant vers le réseau invité si le routeur ne prend pas en charge la création de SSID supplémentaires.
Pour minimiser les risques de compromission, les utilisateurs de maisons intelligentes devraient envisager l’adoption d’une solution de cybersécurité réseau intégrée au routeur.
IMPORTANT : L’appareil analysé est disponible en plusieurs versions : Wyze Cam version 1, Wyze Cam Black version 2, ainsi que Wyze Cam version 3. Nous avons appris que, si les versions 2 et 3 ont été corrigées contre ces vulnérabilités, la version 1 a été abandonnée. et ne reçoit plus de correctifs de sécurité. Les clients qui continuent à utiliser Wyze Cam version 1 ne sont plus protégés et risquent de voir leurs appareils exploités.