Bitdefender pubblica oggi una ricerca sulle vulnerabilità delle telecamere di sorveglianza EZVIZ, invitando gli utenti ad applicare le patch disponibili e ad aggiornare immediatamente il software e controllare il sito web ufficiale del produttore per qualsiasi novità relativa alla sicurezza delle telecamere EZVIZ.
La ricerca conferma che gli hacker, sfruttando diverse vulnerabilità, hanno potuto compromettere completamente le telecamere, accedendo al feed della telecamera stessa, rubando le immagini, iniettando codice dannoso e recuperando le password memorizzate. Si stima che siano stati colpiti oltre 10 milioni di dispositivi.
Bitdefender ha lavorato a stretto contatto con EZVIZ in tutte le fasi della divulgazione della vulnerabilità.
I risultati principali:
- La vulnerabilità Stack-Based Buffer Overflow può portare all’esecuzione di codice remoto durante la procedura di rilevamento del movimento. (Remoto)
- La vulnerabilità Insecure Direct Object Reference in più endpoint API consente a un hacker di recuperare immagini e impartire comandi per conto del reale proprietario della telecamera. (Remoto)
- La vulnerabilità Storing Passwords nel formato Recoverable (in [3}/api/device/query/encryptkey) consente a un hacker di recuperare la chiave di crittografia delle immagini. (Remoto)
- La vulnerabilità Improper Initialization permette a un hacker di recuperare la password di amministratore e di prendere il pieno possesso del dispositivo. (Locale)
Questa ricerca ha riguardato diversi modelli di telecamere EZVIZ che sono elencati all’interno del report disponibile qui.
