EZVIZ इंटरनेट ऑफ थिंग्स (IoT) कैमरों के कम से कम पांच मॉडल कुछ कमजोरियों के प्रति संवेदनशील हैं, जो खतरनाक अभिनेताओं को डिवाइस से वीडियो तक पहुंचने, डिक्रिप्ट करने और डाउनलोड करने का कारण बन सकते हैं।
EZVIZ दुनिया भर में उपयोग किए जाने वाले क्लाउड-कनेक्टेड हार्डवेयर का एक स्मार्ट होम सुरक्षा ब्रांड है, जो दर्जनों IoT सुरक्षा कैमरा मॉडल पेश करता है।
IoT हार्डवेयर सुरक्षा में अपने चल रहे शोध के हिस्से के रूप में, Bitdefender के विश्लेषकों ने कम से कम पांच EZVIZ कैमरा मॉडल में कमजोरियों की पहचान की, हालांकि टीम ने कहा कि अन्य प्रभावित उत्पाद भी हो सकते हैं:
- सीएस-सीवी248 [20XXXXX72] - वी5.2.1 बिल्ड 180403
- CS-C6N-A0-1C2WFR [E1XXXXX79] - V5.3.0 बिल्ड 201719
- CS-DB1C-A0-1E2W2FR [F1XXXXX52] - V5.3.0 बिल्ड 211208
- CS-C6N-B0-1G2WF [G0XXXXX66] - v5.3.0 बिल्ड 210731
- CS-C3W-A0-3H4WFRL [F4XXXXX93] - V5.3.5 बिल्ड 22012
सबसे पहले, सुरक्षा शोधकर्ताओं ने एक स्टैक-आधारित बफर ओवरफ़्लो बग की पहचान की जो रिमोट कोड निष्पादन (CVE-2022-2471) का कारण बन सकता है। इसके अलावा, उन्हें कई एपीआई एंडपॉइंट्स पर एक असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ भेद्यता मिली जो एक साइबर हमलावर को कैमरे पर नियंत्रण लेने की अनुमति दे सकती है, और एक तीसरा रिमोट बग जो एक हमलावर को वीडियो के लिए एन्क्रिप्शन कुंजी चुराने देता है, शोधकर्ताओं ने कहा।
अंत में, CVE-2022-2472 के तहत ट्रैक की गई एक स्थानीय भेद्यता, एक हमलावर को डिवाइस पर कब्ज़ा करने देती है।
"जब डेज़ी-चेन किया जाता है, तो खोजी गई कमजोरियाँ एक हमलावर को कैमरे को दूर से नियंत्रित करने, छवियों को डाउनलोड करने और उन्हें डिक्रिप्ट करने की अनुमति देती हैं," IoT साइबर सुरक्षा अनुसंधान दल जोड़ा गया। "इन कमजोरियों का उपयोग प्रमाणीकरण को बायपास कर सकता है और संभावित रूप से दूरस्थ रूप से कोड निष्पादित कर सकता है, जिससे प्रभावित कैमरों की अखंडता से समझौता हो सकता है।"
EZVIZ ने प्रभावित कैमरों के लिए सुरक्षा अद्यतन जारी करना शुरू कर दिया IoT बग जून में शुरू, बिटडेफ़ेंडर ने खुलासा किया।
