セキュリティ

セキュリティカメラのWyze Camに3年間誰でもアクセス可能だった脆弱性があったことが明らかに

by Davidlamma

セキュリティカメラメーカーのWyze製のカメラに、インターネット経由でアクセス可能な状態になる脆弱(ぜいじゃく)性、さらにリモート実行が可能になる脆弱性があったことが2022年3月に明らかとなりました。これらの脆弱性は2019年に発見されたもので記事作成時点ではすでに対応済みとのことですが、古いモデルについてはサポートが終了しているために修正できず、脆弱性を発見したセキュリティ企業は該当するカメラの使用を中止するように訴えています。

Wyze Cam flaw lets hackers remotely access your saved videos
https://www.bleepingcomputer.com/news/security/wyze-cam-flaw-lets-hackers-remotely-access-your-saved-videos/

Wyze knew hackers could remotely access your camera for three years and said nothing - The Verge
https://www.theverge.com/23003418/wyze-cam-v1-vulnerability-no-patch-bitdefender-responsible-disclosure

Wyzeのカメラにある脆弱性は2019年に、ルーマニアのセキュリティ企業・Bitdefenderの研究者によって発見されました。この脆弱性は、WyzeのセキュリティカメラにSDカードを挿入すると、そのシンボリックリンクが、アクセス制限のないwwwディレクトリに自動的に作成されるというもの。つまり、ウェブサーバーを介して誰でもSDカードに保存された映像や画像、音声にアクセスできるということになります。

さらに、SDカードにはデバイスのログファイルも保存され、UID(デバイスの識別番号)と暗号化キーが含まれています。これに外部からアクセスできるため、リモート実行の脆弱性も存在しました。

誰でもアクセスできてしまう脆弱性は「CVE-2019-9564」として、2019年9月24日のセキュリティアップデートで対処されました。またリモート実行の脆弱性は「CVE-2019-12266」として、2020年11月9日のアップデートで修正されました。そして、数々の脆弱性の原因となったSDカードの取扱いについては、2022年1月29日に配信されたファームウェア更新で修正されました。


しかし、一連のセキュリティアップデートは、2018年2月と2020年10月にリリースされたWyze Cam v2とv3でのみ利用可能であり、2017年8月にリリースされたWyze Cam v1では利用できませんでした。Wyze Cam v1は2020年にサポートが終了し、Wyzeは問題を修正していなかったので、Wyze Cam v1ではリモート実行の脆弱性が永久に未修正のまま残されることになります。なお、Wyze Cam v1は脆弱性について明らかにされる以前の2022年1月に生産中止が発表されました。

脆弱性を発見したBitdefenderは「ベンダー側のロジスティックおよびハードウェアの制限により、Wyze Camのv1は廃止が促されています。このハードウェアの使用をできるだけ早く中止することをおすすめします」と述べています。

これについて、Wyzeはセキュリティリスクをユーザーに説明せず「2022年2月1日以降もWyze Cam v1を継続して使用することは、リスクが高まるため、Wyzeは推奨しておらず、完全に自己責任となります」というメールをユーザーに送信したとのこと。


IT系ニュースサイト・The Vergeの記者でWyze Cam v1を使っていたというショーン・ホリスター氏は「『リスクが高まる』という言葉は、普通は将来のセキュリティアップデートのことを示すもので、すでに明らかになっている重大な脆弱性のこととは思わないでしょう」と述べています。

またホリスター氏は、Bitdefenderが発見した脆弱性の内容をWyzeがユーザーに明らかにしなかっただけではなく、Bitdefenderもその内容を3年近く発表していなかったことは異常だと批判しています。確かにベンダーが修正パッチを提供する前に調査結果を公表することはセキュリティリスクが高いものの、通常はベンダーに連絡してから1~2カ月という公開期日を定めることが多いとのこと。


このことについてBitdefenderは、「私たちは通常最大90日の猶予期間を設けますが、私たちの発見した脆弱性は非常に深刻で、Wyzeの認識と緩和なしにこのレポートを公開することは潜在的に数百万人のユーザーに未知の影響を与えることになると判断しました」と答えています。

ホリスター氏は「もしこれらの脆弱性が、2022年1月にWyze Cam v1を生産中止に至らしめるほど悪いものであれば、ユーザーは2019年の時点でそれを知っておくべきでした」と述べ、これまで使っていたWyze Cam v1を即廃棄したことを明らかにし、「二度とWyzeの製品は使わない」と怒りを露わにしました。

この記事のタイトルとURLをコピーする

・関連記事
AnkerのEufyブランドの防犯カメラで赤の他人のカメラを完全制御できてしまうバグが発生 - GIGAZINE

スマホから留守中でも応対可能なスマートドアベルで「セキュリティに欠陥のあるモデル」が出回っている - GIGAZINE

Amazonのセキュリティ用ネットワークカメラがハッキングされ家主が暴言を吐かれる事態が発生 - GIGAZINE

Amazonの監視カメラ「Ring」はユーザーの意思に関わらずカメラの位置情報を特定できると指摘 - GIGAZINE

ビデオ会話ソフト「Zoom」にユーザーの許可なくカメラが有効化される脆弱性が発見される - GIGAZINE

・関連コンテンツ

in ハードウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.