هناك خمسة نماذج على الأقل من كاميرات EZVIZ Internet of Things (IoT) معرضة لعدد قليل من نقاط الضعف التي قد تؤدي إلى وصول الجهات الفاعلة بالتهديد إلى الفيديو من الأجهزة وفك تشفيره وتنزيله.
EZVIZ هي علامة تجارية لأمن المنزل الذكي للأجهزة المتصلة بالسحابة المستخدمة في جميع أنحاء العالم ، وتقدم العشرات من طرز كاميرات أمان إنترنت الأشياء.
كجزء من بحثهم المستمر حول أمان أجهزة إنترنت الأشياء ، حدد المحللون في Bitdefender ثغرات أمنية في خمسة نماذج من كاميرات EZVIZ على الأقل ، على الرغم من أن الفريق أضاف أنه قد يكون هناك منتجات أخرى متأثرة أيضًا:
- CS-CV248 [20XXXXX72] - إصدار V5.2.1 180403
- CS-C6N-A0-1C2WFR [E-1-79X5.3.0] - إصدار V201719 XNUMX
- CS-DB1C-A0-1E2W2FR [F-1-52X5.3.0] - إصدار V211208 إصدار XNUMX
- CS-C6N-B0-1G2WF [G0XXXXX66] - إصدار v5.3.0 إصدار 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] - الإصدار V5.3.5 الإصدار 22012
أولاً ، حدد الباحثون الأمنيون خطأ تجاوز سعة المخزن المؤقت المستند إلى المكدس والذي يمكن أن يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد (CVE-2022-2471). بالإضافة إلى ذلك ، وجدوا ثغرة أمنية مرجعية مباشرة للكائن في عدة نقاط نهاية لواجهة برمجة التطبيقات والتي يمكن أن تسمح للمهاجم الإلكتروني بالتحكم في الكاميرا ، وخللًا ثالثًا عن بُعد يسمح للمهاجم بسرقة مفتاح التشفير للفيديو ، كما أضاف الباحثون.
أخيرًا ، تتيح إحدى الثغرات الأمنية المحلية ، التي يتم تتبعها بموجب CVE-2022-2472 ، للمهاجم السيطرة على الجهاز بجدية.
"عند التسلسل التعاقبي ، تسمح الثغرات الأمنية المكتشفة للمهاجم بالتحكم عن بُعد في الكاميرا وتنزيل الصور وفك تشفيرها" الأمن السيبراني وأضاف فريق البحث. "يمكن أن يؤدي استخدام هذه الثغرات الأمنية إلى تجاوز المصادقة وربما تنفيذ التعليمات البرمجية عن بُعد ، مما يزيد من تعريض سلامة الكاميرات المتأثرة للخطر."
بدأت EZVIZ في إصدار تحديثات الأمان للكاميرات المتأثرة بـ خطأ إنترنت الأشياء ابتداء من يونيو ، كشفت Bitdefender.
