Wyze修补了其安全摄像头上的严重缺陷但没有修复其最古老的缺陷
如果您有WyzeCam版本1,我们有坏消息。廉价、易于使用的家庭安全摄像头存在一些无法修复的严重安全漏洞。您最好只是摆脱该装置并花费35美元换取WyzeCam版本2或WyzeCamv3,这两个缺陷都已得到修复。或者,您可以查看我们的最佳家庭安全摄像头列表以获得更多选择。
安全公司Bitdefender在今天(3月29日)的一篇博文中警告说:“虽然版本2和3已经针对这些漏洞进行了修补,但版本1已经停产并且不再接收安全修复程序。”“继续使用WyzeCam版本1的客户不再受到保护,他们的设备可能会被利用。”
唯一的问题是,2017年首次亮相的WyzeCamv1和一年后发布的WyzeCamv2看起来可能完全一样。(还有一个黑色的v2模型。)
我们联系了Wyze的客户支持聊天热线,并被告知您可以在每台相机的底部找到设备信息——v2设备会显示“v2”,而v1设备不会。
主要区别在于内脏。WyzeCamv2的帧速率为15fps,而v1的帧速率为10fps;v2支持GoogleAssistant和AmazonAlexa,而v1只有Alexa;v2具有运动标记功能,而v1没有。
无论如何,Wyze早在2月1日就结束了对v1的支持。具有讽刺意味的是,Bitdefender白皮书详细说明了它是如何在三年前的2019年3月首次告知Wyze这三个安全漏洞的。
Bitdefender表示,Wyze在接下来的一年半内修复或减轻了一些缺陷,但并未承认Bitdefender的原始信息。根据安全公司的报告,Wyze最终在2020年11月回复了Bitdefender,然后两人一起验证了进一步的修复。
缺陷号1,编目为CVE-2019-9564,让您无需密码即可通过互联网控制Wyzecam。使用这个漏洞,你“可以完全控制设备,包括运动控制(平移/倾斜),禁用录制到[SD卡],打开/关闭相机,”Bitdefender指出,尽管你无法查看实时信息。这已在WyzeCamsv2和v3上得到修复,但未在WyzeCamv1上得到修复。
缺陷号2,编目为CVE-2019-12266,确实可以让您查看实时提要。它涉及用太多数据淹没Wyze相机的内部存储器,让远程攻击者完全控制设备。目前尚不完全清楚这是否已在WyzeCamv1上修复,但已在v2和v3上修复。
缺陷号3未编目,但允许远程攻击者在没有任何密码的情况下访问插入相机的SD卡的内容。这已在WyzeCamv1上得到缓解,但仅在WyzeCamsv2和v3上完全修复。
标签: