دوربین های محبوب اینترنت اشیا برای جلوگیری از حملات فاجعه بار نیاز به وصله دارند

حداقل پنج مدل دوربین EZVIZ اینترنت اشیا (IoT) در برابر آسیب‌پذیری‌های انگشت شماری آسیب‌پذیر هستند که می‌تواند منجر به دسترسی عوامل تهدید، رمزگشایی و دانلود ویدیو از دستگاه‌ها شود.

EZVIZ یک برند امنیتی خانه هوشمند از سخت افزار متصل به ابر است که در سراسر جهان استفاده می شود و ده ها مدل دوربین امنیتی اینترنت اشیا را ارائه می دهد. 

به عنوان بخشی از تحقیقات مداوم خود در مورد امنیت سخت‌افزار اینترنت اشیا، تحلیلگران Bitdefender آسیب‌پذیری‌هایی را در حداقل پنج مدل دوربین EZVIZ شناسایی کردند، اگرچه تیم اضافه کرد که ممکن است محصولات دیگری نیز تحت تأثیر قرار بگیرند: 

• CS-CV248 [20XXXXX72] – V5.2.1 build 180403
• CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 build 201719
• CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 build 211208
• CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 build 210731
• CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 build 22012

ابتدا، محققان امنیتی یک اشکال سرریز بافر مبتنی بر پشته را شناسایی کردند که می‌تواند منجر به اجرای کد از راه دور شود (CVE-2022-2471). محققان افزودند، علاوه بر این، آنها یک آسیب‌پذیری ناامن مرجع مستقیم شی را در چندین نقطه پایانی API پیدا کردند که می‌تواند به مهاجم سایبری اجازه دهد کنترل دوربین را در دست بگیرد، و سومین باگ راه دور که به مهاجم اجازه می‌دهد کلید رمزگذاری ویدیو را بدزدد. 

در نهایت، یک آسیب‌پذیری محلی که تحت CVE-2022-2472 ردیابی می‌شود، به مهاجم اجازه می‌دهد دستگاه را به طور جدی کنترل کند. 

“When daisy-chained, the discovered vulnerabilities allow an attacker to remotely control the camera, download images and decrypt them,” the امنیت سایبری اینترنت اشیا research team added. “Use of these vulnerabilities can bypass authentication and potentially execute code remotely, further compromising the integrity of the affected cameras.” 

EZVIZ شروع به صدور به‌روزرسانی‌های امنیتی برای دوربین‌های تحت تأثیر آن کرد اشکال اینترنت اشیا از ماه ژوئن، Bitdefender فاش کرد.