Kurzer Hinweis für Besitzer von Indoor-Kameras des Anbieters Wyze. Deren Modell Wyze Com v3 enthält wohl Schwachstellen, über die Dritte auf die Kameradaten zugreifen können. Inzwischen ist ein RCE-Exploit für die Wyze Cam v3 veröffentlicht worden. Wer die Kamera einsetzt, sollte diese also absichern.
Ich habe mal schnell im Internet geschaut, die Wyze Cam v3 wird auch auf den deutschen Amazon-Seiten für um die 100 Euro (als Amazon Tipp) als "Wyze Cam v3 1080p HD IndWyze Cam v3 1080p HD Innen-/Außen-Videokamera mit Farb-Nachtsicht, 2-Wege-Audio, funktioniert mit Alexa & dem Google Assistant und IFTTT" gehandelt. Bekommt sogar 4,5 Sterne in den Bewertungen. Wyze Cam v3 ist eine preisgünstige Sicherheitskamera für den Innen- und Außenbereich mit Unterstützung für Nachtsicht in Farbe, SD-Kartenspeicher, Cloud-Konnektivität für Smartphone-Steuerung, IP65-Wetterschutz und mehr. Die Kameras verkaufen sich wohl sehr gut.
Der Sicherheitsforscher Peter Geissler (alias bl4sty) entdeckte vor kurzem zwei Schwachstellen in der aktuellen Wyze Cam v3 Firmware, die miteinander kombiniert werden können, um Remotecode auf verwundbaren Geräten auszuführen.
Die Kollegen von Bleeping Computer haben bereits Ende Oktober 2023 in obigem Tweet auf einen Exploit für diese Kamera hingewiesen. Peter Geisler hat auf GitHub einen Exploit für die Kamera hinterlassen. Die Details zur Schwachstelle und zum Exploit sind auf Github oder in diesem Artikel von Bleeping Computer nachlesbar.
MVP: 2013 – 2016
Bei bleeping steht ein unwidersprochener Kommentar, dass der Angriff nur im lokalen Netz funktionieren würde, was den Impact merklich relativieren würde.