EZVIZ ইন্টারনেট অফ থিংস (IoT) ক্যামেরার অন্তত পাঁচটি মডেল মুষ্টিমেয় দুর্বলতার জন্য ঝুঁকিপূর্ণ যা হুমকি অভিনেতাদের ডিভাইসগুলি থেকে ভিডিও অ্যাক্সেস, ডিক্রিপ্ট এবং ডাউনলোড করতে পারে৷
EZVIZ হল বিশ্বজুড়ে ব্যবহৃত ক্লাউড-সংযুক্ত হার্ডওয়্যারের একটি স্মার্ট হোম সিকিউরিটি ব্র্যান্ড, কয়েক ডজন IoT নিরাপত্তা ক্যামেরা মডেল অফার করে।
IoT হার্ডওয়্যার নিরাপত্তা নিয়ে তাদের চলমান গবেষণার অংশ হিসাবে, Bitdefender-এর বিশ্লেষকরা কমপক্ষে পাঁচটি EZVIZ ক্যামেরা মডেলের দুর্বলতা চিহ্নিত করেছেন, যদিও দলটি যোগ করেছে যে অন্যান্য প্রভাবিত পণ্যও থাকতে পারে:
- CS-CV248 [20XXXXXX72] – V5.2.1 বিল্ড 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 বিল্ড 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXXX52] – V5.3.0 বিল্ড 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 বিল্ড 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 বিল্ড 22012
প্রথমত, নিরাপত্তা গবেষকরা একটি স্ট্যাক-ভিত্তিক বাফার ওভারফ্লো বাগ চিহ্নিত করেছেন যা রিমোট কোড এক্সিকিউশন (CVE-2022-2471) হতে পারে। উপরন্তু, তারা বেশ কয়েকটি API এন্ডপয়েন্টে একটি অনিরাপদ প্রত্যক্ষ অবজেক্ট রেফারেন্স দুর্বলতা খুঁজে পেয়েছে যা একটি সাইবার আক্রমণকারীকে ক্যামেরার নিয়ন্ত্রণ নিতে দেয় এবং একটি তৃতীয় রিমোট বাগ যা আক্রমণকারীকে ভিডিওর জন্য এনক্রিপশন কী চুরি করতে দেয়, গবেষকরা যোগ করেছেন।
অবশেষে, CVE-2022-2472 এর অধীনে ট্র্যাক করা একটি স্থানীয় দুর্বলতা, একজন আক্রমণকারীকে আন্তরিকভাবে ডিভাইসটি দখল করতে দেয়।
"যখন ডেইজি-শৃঙ্খলিত, আবিষ্কৃত দুর্বলতাগুলি আক্রমণকারীকে দূরবর্তীভাবে ক্যামেরা নিয়ন্ত্রণ করতে, ছবিগুলি ডাউনলোড করতে এবং সেগুলিকে ডিক্রিপ্ট করতে দেয়," আইওটি সাইবার নিরাপত্তা গবেষণা দল যোগ করেছে। "এই দুর্বলতাগুলির ব্যবহার প্রমাণীকরণকে বাইপাস করতে পারে এবং সম্ভাব্যভাবে দূরবর্তীভাবে কোড চালাতে পারে, প্রভাবিত ক্যামেরাগুলির অখণ্ডতার সাথে আরও আপস করতে পারে।"
EZVIZ দ্বারা প্রভাবিত ক্যামেরাগুলির জন্য নিরাপত্তা আপডেট জারি করা শুরু করেছে৷ আইওটি বাগ জুন শুরু, Bitdefender প্রকাশ.
