مشہور IoT کیمروں کو تباہ کن حملوں کو روکنے کے لیے پیچ کی ضرورت ہے۔

EZVIZ انٹرنیٹ آف تھنگز (IoT) کیمروں کے کم از کم پانچ ماڈلز مٹھی بھر کمزوریوں کا شکار ہیں جو دھمکی دینے والے اداکاروں کو آلات سے ویڈیو تک رسائی، ڈکرپٹ اور ڈاؤن لوڈ کرنے کا باعث بن سکتے ہیں۔

EZVIZ دنیا بھر میں استعمال ہونے والے کلاؤڈ سے منسلک ہارڈویئر کا ایک سمارٹ ہوم سیکیورٹی برانڈ ہے، جو درجنوں IoT سیکیورٹی کیمرہ ماڈل پیش کرتا ہے۔ 

IoT ہارڈویئر سیکیورٹی میں ان کی جاری تحقیق کے حصے کے طور پر، Bitdefender کے تجزیہ کاروں نے EZVIZ کیمرہ کے کم از کم پانچ ماڈلز میں کمزوریوں کی نشاندہی کی، حالانکہ ٹیم نے مزید کہا کہ دیگر متاثرہ مصنوعات بھی ہوسکتی ہیں: 

• CS-CV248 [20XXXXX72] – V5.2.1 بلڈ 180403
• CS-C6N-A0-1C2WFR [E1XXXXX79] – V5.3.0 بلڈ 201719
• CS-DB1C-A0-1E2W2FR [F1XXXXX52] – V5.3.0 بلڈ 211208
• CS-C6N-B0-1G2WF [G0XXXXX66] – v5.3.0 بلڈ 210731
• CS-C3W-A0-3H4WFRL [F4XXXXX93] – V5.3.5 بلڈ 22012

سب سے پہلے، سیکورٹی محققین نے اسٹیک پر مبنی بفر اوور فلو بگ کی نشاندہی کی جو ریموٹ کوڈ پر عمل درآمد (CVE-2022-2471) کا باعث بن سکتا ہے۔ محققین نے مزید کہا کہ اس کے علاوہ، انہوں نے کئی API اینڈ پوائنٹس پر ایک غیر محفوظ براہ راست آبجیکٹ ریفرنس کا خطرہ پایا جو سائبر حملہ آور کو کیمرے کا کنٹرول سنبھال سکتا ہے، اور تیسرا ریموٹ بگ جو حملہ آور کو ویڈیو کے لیے خفیہ کاری کی کلید چرانے دیتا ہے۔ 

آخر میں، ایک مقامی کمزوری، جسے CVE-2022-2472 کے تحت ٹریک کیا جاتا ہے، ایک حملہ آور کو پوری سنجیدگی سے آلہ پر قبضہ کرنے دیتا ہے۔ 

"جب گل داؤدی زنجیروں میں جکڑا جاتا ہے، تو دریافت شدہ کمزوریاں حملہ آور کو کیمرے کو دور سے کنٹرول کرنے، تصاویر ڈاؤن لوڈ کرنے اور ان کو ڈکرپٹ کرنے کی اجازت دیتی ہیں۔" IoT سائبر سیکیورٹی تحقیقی ٹیم نے مزید کہا۔ "ان کمزوریوں کا استعمال تصدیق کو نظرانداز کر سکتا ہے اور ممکنہ طور پر کوڈ کو دور سے چلا سکتا ہے، متاثرہ کیمروں کی سالمیت پر مزید سمجھوتہ کر سکتا ہے۔" 

EZVIZ نے متاثر ہونے والے کیمروں کے لیے سیکورٹی اپ ڈیٹ جاری کرنا شروع کر دیا۔ IoT بگ جون میں شروع ہونے والے، بٹ ڈیفینڈر نے انکشاف کیا۔