वायज़ को 2019 में कैमरा सुरक्षा खामी के बारे में पता चला और उसने किसी को नहीं बताया

सुरक्षा शोधकर्ता बिटडेफ़ेंडर ने 2019 में वायज़ को बताया कि हैकर्स वायज़ कैम वीडियो फ़ीड को दूरस्थ रूप से एक्सेस कर सकते हैं, लेकिन वायज़ ने किसी को नहीं बताया।

वायज़ 2017 में मूल वायज़ कैम के बाद से सस्ते स्मार्ट सुरक्षा कैमरे बेच रहा है, और इसने अन्य उत्पाद श्रेणियों में भी प्रवेश किया है (ईयरबड की तरह). हालाँकि, कंपनी के पास भी कुछ समस्याएं हैं, और एक और महत्वपूर्ण मुद्दा सामने आया है - हैकर्स वायज़ कैम्स से वीडियो फ़ीड तक पहुंच प्राप्त कर सकते हैं।

बिटडेफ़ेंडर ने मंगलवार को सार्वजनिक रूप से वायज़ के सुरक्षा कैमरों में सुरक्षा कमजोरियों की एक श्रृंखला का खुलासा किया, जिसने वायज़ कैम पैन v2 को प्रभावित किया। (4.49.1.47 से पहले), वायज़ कैम वी2 (4.9.8.1002 से पहले), वायज़ कैम वी3 (4.36.8.32 से पहले), और सभी फर्मवेयर पर मूल वायज़ कैम संस्करण. पहली भेद्यता, के रूप में जानी जाती है सीवीई-2019-9564, हैकर्स को वायज़ उपकरणों के लिए लॉगिन को बायपास करने और कैमरा नियंत्रण तक पहुंच प्राप्त करने की अनुमति दी। बिटडेफ़ेंडर ने एक स्टैक बफ़र ओवरफ़्लो भेद्यता की भी खोज की (सीवीई-2019-12266), जिसका उपयोग जब पहली सुरक्षा खामी के साथ किया जाता है, तो इसका उपयोग कैमरे के वीडियो फ़ीड तक दूरस्थ पहुंच प्राप्त करने के लिए किया जा सकता है।

इस सुरक्षा दोष का लाभ उठाने के लिए प्रारंभिक कैमरा आईडी को जानना आवश्यक है, जो एक यादृच्छिक स्ट्रिंग है जिसे केवल कैमरे के समान स्थानीय नेटवर्क से जुड़कर ही रिकॉर्ड किया जा सकता है। यह सुरक्षा दोष के दायरे को महत्वपूर्ण रूप से सीमित कर देता है, क्योंकि किसी हैकर को वायज़ कैमरे से वीडियो फ़ीड तक पहुंचने से पहले आपके होम नेटवर्क तक पहुंच प्राप्त करनी होगी।

यहां मुख्य समस्या वास्तव में सुरक्षा भेद्यता नहीं है, यह वायज़ की तरह है संभाला भेद्यता. बिटडेफ़ेंडर का कहना है कि उसने वायज़ से दो बार संपर्क किया, पहले 6 मार्च, 2019 को और फिर 15 मार्च, 2019 को, और जाहिर तौर पर उसे कोई प्रतिक्रिया नहीं मिली। अगले महीनों में, वायज़ ने अपने कुछ कैमरों को लॉगिन भेद्यता के आंशिक समाधान के साथ अपडेट किया, फिर भी बिटडेफ़ेंडर को जवाब दिए बिना। नवंबर 2020 तक वायज़ ने अंततः बिटडेफ़ेंडर के साथ संचार नहीं किया था, और अंतिम सुधार जनवरी 2022 तक तैनात नहीं किए गए थे।

6 जनवरी, 2022 को वायज़ ग्राहकों को ईमेल भेजा गया (स्रोत: द वर्ज)

वायज़ ने न केवल त्वरित कार्रवाई नहीं की और सुरक्षा मुद्दों को संबोधित करने के लिए बिटडेफ़ेंडर के साथ काम नहीं किया, बल्कि कंपनी ने कभी भी अपने ग्राहकों के प्रति भेद्यता को स्वीकार नहीं किया। वायज़ ने बताया कगार कंपनी अपने ग्राहकों के साथ पारदर्शी रही है और "समस्या को पूरी तरह से ठीक कर लिया है", लेकिन मूल वायज़ कैम को कभी भी ठीक नहीं किया गया, और कंपनी ने ग्राहकों को इस विशिष्ट चीज़ के बारे में कभी नहीं बताया मुद्दा।

वायज़ ने अपनी सुरक्षा कमजोरियों के बारे में कोई सार्वजनिक बयान जारी नहीं किया है ट्विटर खाता या अन्य सोशल मीडिया अकाउंट, जब यह लेख प्रकाशित हुआ था।

स्रोत:कगार, BitDefender