Sicherheitslücken in der Wyze Cam IoT-Kamera-Firmware (März 2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforsche von Bitdefender machen auf Schwachstellen aufmerksam, die sie in der Firmware von Wyze CAM IP-Videokameras entdeckt haben. Angreifer können, so Bitdefender, den Authentifizierungsprozess umgehen, die komplette Kontrolle über das Gerät erlangen und Informationen sowie Konfigurationsdaten aus der SD-Karte der Kamera auslesen oder Schadcode installieren. Durch ein Update lässt sich die Lücke ab der Wyze Cam V2 schließen. Für die erste Version der Kamera ist ein Patchen aber nicht möglich..


Anzeige

Die Informationen sind mir bereits zum 29. März 2022 von Bitdefender zugegangen. Da Überwachungskameras sensible Inhalte liefern und das Auswerten der Daten den strengen Vorgaben des Datenschutzes unterliegt, dürfte das Thema auch für die Blog-Leserschaft eventuell von Interesse sein. Denn eine Sicherheitslücke, die den Zugang auf aufgenommene Videos ermöglicht, gefährdet nicht nur die Sicherheit eines Gebäudes, sondern kann auch Persönlichkeitsrechte verletzen. Eine vernetzte Kamera als Internet-of-Things (IoT)-Hardware braucht denselben Schutz wie ein PC-Endpunkt. Wer die Geräte als "Sicherheitskamera" einsetzt, hat schon verloren

Wer ist Wyze?

Wyze ist ein US-Anbieter von 'günstigen' Smart-Home Geräten wie Kameras, Lampen, Schlösser oder ähnliches. Gegründet wurde das Ganze von ehemaligen Amazon-Angestellten. Wie die Firma mit China und Alibaba zusammen hängt (siehe die Hinweise hier), ist mir bisher unklar. Ich hatte bereits im Blog-Beitrag IoT-Anbieter Wyze gesteht Datenleck ein über ein Sicherheitsproblem dieses Anbieters berichtet. Zudem benutzt Wyze Cloud-Dienste für die Verwaltung der Funktionen der IoT-Kameras, was bei einem Ausfall der AWS-Cloud im Dezember 2021 für Chaos sorgte (siehe Amazon AWS-Cloud-Ausfall sorgt für Chaos (8.12.2021)).

Wyze-Produkte
(Shop mit Wyze-Produkten, Quelle: 12security.com)

Sicherheitsprobleme bei Wyze Cam IoT-Kameras

Das Problem bei den Wyze Cam IoT-Kameras sind – wie so oft in der IoT-Welt – Mängel in der Authentifikation. Diese sind bei den älteren Firmware-Versionen der Wyze CAM-Modelle das Einstiegstor für die Angreifer. Insgesamt haben die Sicherheitsforscher folgende Schwachstellen aufgedeckt:

  • Authentication bypass (CVE-2019-9564): Eine Schwachstelle in der Authentifizierungslogik von Wyze Cam Pan v2, Cam v2, Cam v3, diese ermöglicht es einem Angreifer, die Anmeldung zu umgehen und die Geräte zu kontrollieren. Dieses Problem betrifft: Wyze Cam Pan v2 Versionen vor 4.49.1.47. Wyze Cam v2 Versionen vor 4.9.8.1002. Wyze Cam v3-Versionen vor 4.36.8.32.
  • Remote control execution flaw caused by a stack-based buffer overflow (CVE-2019-12266): Eine Stack-basierende Pufferüberlauf-Schwachstelle in Wyze Cam Pan v2, Cam v2, Cam v3 erlaubt einem Angreifer die Ausführung von beliebigem Code auf dem betroffenen Gerät. Dieses Problem betrifft: Wyze Cam Pan v2 Versionen vor 4.49.1.47. Wyze Cam v2 Versionen vor 4.9.8.1002. Wyze Cam v3-Versionen vor 4.36.8.32.
  • Unauthenticated access to contents of the SD card

Durch einen Fehler im ursprünglichen Authentifikationsverfahren können Dritte die Benutzeranmeldung umgehen, ohne den dazu eigentlich notwendigen enr-Wert zu kennen. Denn eine Schwachstelle ermöglicht den unerlaubten Zugriff auf alle Inhalte der SD-Karte einer Kamera. Zunächst kann der Angreifer auf die verschlüsselten Inhalte nicht zugreifen. Ein Stack Buffer Overflow-Fehler ermöglicht einem Angreifer aber, im nächsten Schritt eine Remote Code-Ausführung zu versuchen und die Videos zu betrachten.

Zudem können unberechtigte Dritte den Inhalt über einen automatisch erstellen Symlink auf die Directory auslesen. Damit lassen sich die Logfiles der SD-Karte auslesen. Dort findet sich auch der enr-Wert zur Authentifikation und die UID zum Vernetzen der Kamera.

Die Kombination der Fehler ermöglicht quasi die komplette Kontrolle über das Gerät zu erlangen und Informationen sowie Konfigurationsdaten aus der SD-Karte der Kamera auszulesen oder Schadcode zu installieren. So kann ein Hacker im Fernmodus das Gerät vollständig kontrollieren, das Objektiv frei in seinem Sinne bewegen (pan/tilt), die Aufnahme stoppen oder die Kamera vollständig ausschalten. Als "Überwachungskamera" sind die Geräte dann faktisch nicht mehr einsetzbar – und Betreiber aus Firmen stehen bezüglich der DSGVO juristisch auch "im Feuer".

Was kann ein Nutzer tun?

Bitdefender schreibt dazu, dass der Hersteller aus verschiedenen Gründen keinen Patch mehr für die erste Version der Wyze Cam liefern kann, denn die Wyze Cam V1 vertreibt er nicht mehr. Kunden, die dieses Modell nutzen, sollten sie austauschen.


Anzeige

Für Heimanwender – die wohl verstärkt auf Wyze setzen (ggf. über OEMs) – schlägt Bitdefender in diesem Blog-Beitrag vor, die IoT-Geräte genau im Auge zu behalten und diese so weit als möglich vom lokalen Netzwerk zu isolieren. Dies könne durch die Einrichtung einer dedizierten SSID ausschließlich für IoT-Geräte geschehen oder indem die Administratoren die IoT-Geräte in ein Gastnetzwerk verschieben (sofern der Router die Erstellung zusätzlicher SSIDs nicht unterstützt).

Bitdefender schlägt zudem in diesem Blog-Beitrag den Einsatz eines Scanners (Bitdefender Smart Home Scanner-App) vor, mit dem man die angeschlossenen Geräten scannen und gefährdete Geräte identifizieren sowie markieren kann. Das ist aber irgendwo ein Stück weiße Salbe, da dies einen Hack zwar aufdeckt, aber ein Eindringen bei nicht geschlossenen Schwachstellen nicht verhindert.

Besitzer von IoT-Geräten sollten daher sicherstellen, dass sie nach neuerer Firmware suchen und die Geräte aktualisieren, sobald der Hersteller neue Versionen herausgibt. Einen Überblick über Firmware-Updates findet sich auf dieser Webseite.

Im Grunde ist der Vorfall erneut ein Weckruf, um die gesamten IoT-Geräte einem kritischen Blick zu unterziehen. Die Cloud-Anbindung der Kameras ist, in Verbindung mit den Schwachstellen und auch dem nachfolgend erwähnten Cloud-Ausfall quasi ein No-Go.

Ähnliche Artikel:
IoT-Anbieter Wyze gesteht Datenleck ein
Amazon AWS-Cloud-Ausfall sorgt für Chaos (8.12.2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sicherheitslücken in der Wyze Cam IoT-Kamera-Firmware (März 2022)

  1. Joe_Gerhard sagt:

    Die Kameras waren (sind?) in Europa nicht offiziell erhältlich. Da preiswert, schick und vom Funktionsumfang ok, habe ich vor zwei oder drei Jahren ein paar aus USA „importiert" . Die Dinger haben zunächst ganz prima funktioniert und das gemacht was sie sollten. Nach einiger Zeit gingen zu viele der Kameras einfach nicht mehr oder hatten Teilausfälle (was doof war, weil die Kameras fast alle an entfernten, unbewohnten Standorten aufgestellt waren).
    Dann führte Wyze ein völlig neues „Kostenmodell" ein. Außerdem gab es mit der Zeit etliche (mMn zu viele) neue Produkte rund um Haus und Hof. Ich habe dann die letzten funktionierenden Kameras entsorgt und den Hersteller gewechselt…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.