Una grave vulnerabilidad en las cámaras de seguridad Wyze ha permitido a miles de usuarios ver las imágenes de otros usuarios sin autorización. La falla, que ya ha sido solucionada por la empresa, reside en una biblioteca de almacenamiento en caché de terceros que se utiliza para almacenar miniaturas de las imágenes capturadas por las cámaras.
La vulnerabilidad se encuentra en «una biblioteca de almacenamiento en caché de terceros” «**libjpeg-turbo**», utilizada por Wyze para almacenar miniaturas de las imágenes capturadas por las cámaras. Un atacante con acceso a la red local de un usuario podría explotar una vulnerabilidad de desbordamiento de búfer en la biblioteca para obtener acceso no autorizado a la memoria del dispositivo y modificar la configuración de la cámara. Esto permitiría al atacante ver las imágenes en vivo de la cámara, así como acceder a las grabaciones almacenadas en la tarjeta SD.
Usuarios reportaron la pérdida de acceso a sus dispositivos con mensajes de error en las aplicaciones. Se estima que la vulnerabilidad ha afectado a miles de usuarios de cámaras Wyze. La empresa ha confirmado que 13.000 usuarios se vieron afectados por la exposición de sus imágenes, y que 1.504 usuarios de forma involuntaria accedieron a las imágenes de otros usuarios.
Wyze fabrica dispositivos de seguridad doméstica muy populares, pero ha tenido incidentes relacionados con la privacidad, como una filtración de datos en 2019 y un grave fallo de seguridad que solucionó retirando una línea de dispositivos antiguos sin retirarlos del mercado. El año pasado, algunos usuarios informaron que podían ver las imágenes de la cámara de los dispositivos de otras personas, lo que Wyze achacó a un problema de almacenamiento en caché web. En ese caso, los usuarios afirmaron que sus dispositivos desaparecían y eran sustituidos por los de otras personas, incluidas imágenes que mostraban el interior de casas ajenas.
Wyze ha solucionado la vulnerabilidad actualizando la biblioteca «**libjpeg-turbo**» a una versión más reciente. La empresa recomienda a todos los usuarios actualizar la aplicación Wyze a la última versión disponible.
Recomendaciones
- Actualizar la aplicación Wyze a la última versión disponible.
- Cambiar la contraseña de la cuenta Wyze.
- Habilitar la autenticación de dos factores para la cuenta Wyze.
- Utilizar una red WiFi segura y protegida con contraseña.
- Mantener el firmware de la cámara actualizado.
Más información:
- https://forums.wyze.com/t/wyze-outage-and-investigation-of-security-issue/290462
- https://www.theverge.com/2024/2/16/24074799/wyze-outage-security-camera-smart-home-down-offline
- https://support.wyze.com/hc/en-us/articles/360015979872-Service-Status-Known-Issues
