Especialistas en ciberseguridad reportaron la detección de múltiples vulnerabilidades en los populares dispositivos Wyze Cam, que podrían ser abusados por los actores de amenazas para obtener acceso a las imágenes almacenadas en las tarjetas SD de las cámaras.
Según el reporte de Bitdefender, algunos productos de Wyze Cam se ven afectados por una vulnerabilidad de evasión de autenticación identificada como CVE-2019-9564, y un error de ejecución de control remoto identificado como CVE-2019-12266, además de otros errores de seguridad.
Después de la detección de múltiples errores de logística y de hardware, Wyze suspendió la versión 1 de sus cámaras, dejando a los usuarios de estos dispositivos sin la posibilidad de recibir actualizaciones de seguridad. A pesar de que las versiones 2 y 3 de Wyze Cam fueron actualizadas correctamente, las versiones más antiguas seguirán siendo vulnerables.
Wyze recibió el reporte en marzo de 2019, después de meses de ignorar los mensajes de Bitdefender. A pesar de que las actualizaciones posteriores de Wyze redujeron el riesgo de acceso no autenticado al contenido de la tarjeta SD, la empresa no respondió en gran medida a los intentos de contacto iniciales de Bitdefender, por lo que sus usuarios siguieron expuestos a estos ataques.
A finales de 2019, Wyze lanzó una actualización para sus productos Cam v2 con el fin de abordar la falla CVE-2019-9564. Posteriormente, la compañía lanzó una solución para CVE-2019-12266.
Los investigadores de Bitdefender notificaron a Wyze que planeaban publicar las vulnerabilidades en septiembre de 2021 y la compañía lanzó una actualización de firmware el 29 de enero de 2022 que soluciona el problema de la tarjeta SD.
La compañía asegura que CVE-2019-9564 brinda a los actores de amenazas el control total de un dispositivo, incluyendo la capacidad de controlar el movimiento de la cámara, deshabilitar la grabación, encender o apagar la cámara y otras actividades. Bitdefender especifica que CVE-2019-9564 no permite ver la transmisión de audio y video en vivo, pero cuando se explota de forma conjunta con CVE-2019-12266, este ataque se vuelve posible.
CVE-2019-12266 permite a los hackers determinar qué servidores usar para conectarse a la nube. La vulnerabilidad de la tarjeta SD brinda a los actores de amenazas acceso al contenido de la tarjeta después de insertarla en la cámara. Finalmente, los equipos de seguridad de Wyze agradecieron el reporte y aseguraron que los productos compatibles seguirán recibiendo las actualizaciones necesarias: “Reparamos todos los problemas de seguridad en nuestros productos compatibles. Estas actualizaciones ya están implementadas en nuestra última aplicación y actualizaciones de firmware”.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
