أخبر الباحث الأمني Bitdefender Wyze في عام 2019 أن المتسللين يمكنهم الوصول عن بعد إلى خلاصات فيديو Wyze Cam، لكن Wyze لم يخبر أحداً.
تبيع Wyze كاميرات أمنية ذكية غير مكلفة منذ إصدار Wyze Cam الأصلي في عام 2017، وتفرعت أيضًا إلى فئات منتجات أخرى (مثل سماعات الأذن). ومع ذلك، واجهت الشركة أيضًا نصيبها العادل من المشكلات، وظهرت مشكلة مهمة أخرى إلى النور، وهي أن المتسللين يمكنهم الوصول إلى خلاصات الفيديو من Wyze Cams.
كشف Bitdefender علنًا عن سلسلة من الثغرات الأمنية في كاميرات Wyze الأمنية يوم الثلاثاء، والتي أثرت على Wyze Cam Pan v2 (قبل 4.49.1.47)، وWyze Cam v2 (قبل 4.9.8.1002)، وWyze Cam v3 (قبل 4.36.8.32)، وWyze Cam الأصلية على جميع البرامج الثابتة الإصدارات. الثغرة الأولى والمعروفة باسم CVE-2019-9564، سمح للمتسللين بتجاوز تسجيل الدخول لأجهزة Wyze والوصول إلى عناصر التحكم في الكاميرا. اكتشف Bitdefender أيضًا ثغرة أمنية في تجاوز سعة المخزن المؤقت للمكدس (CVE-2019-12266)، والتي عند استخدامها مع الثغرة الأمنية الأولى، يمكن استخدامها للوصول عن بعد إلى تغذية الفيديو بالكاميرا.
ويتطلب الاستفادة من هذا الثغرة الأمنية معرفة معرف الكاميرا الأولي، وهو عبارة عن سلسلة عشوائية لا يمكن تسجيلها إلا من خلال الانضمام إلى نفس الشبكة المحلية مثل الكاميرا. وهذا يحد بشكل كبير من نطاق الثغرة الأمنية، حيث سيتعين على المتسلل أولاً الوصول إلى شبكتك المنزلية قبل الوصول إلى بث الفيديو من كاميرا Wyze.
المشكلة الرئيسية هنا ليست في الواقع الثغرة الأمنية، بل في كيفية Wyze التعامل معها الضعف. تقول Bitdefender إنها اتصلت بـ Wyze مرتين، الأولى في 6 مارس 2019، ومرة أخرى في 15 مارس 2019، ويبدو أنها لم تتلق أي رد. على مدار الأشهر التالية، قامت Wyze بتحديث بعض كاميراتها بإصلاح جزئي لثغرة تسجيل الدخول، دون الاستجابة لـ Bitdefender. لم يتواصل Wyze أخيرًا مع Bitdefender إلا في نوفمبر 2020، ولم يتم نشر الإصلاحات النهائية حتى يناير 2022.
لم يقتصر الأمر على عدم تصرف Wyze بسرعة والعمل مع Bitdefender لمعالجة المشكلات الأمنية فحسب، بل إن الشركة أيضًا لم تعترف أبدًا بالثغرة الأمنية لعملائها. قال ويز الحافة أن الشركة كانت شفافة مع عملائها و"صححت المشكلة بالكامل"، لكن لم تتلق Wyze Cam الأصلية أي إصلاح مطلقًا، ويبدو أن الشركة لم تخبر العملاء أبدًا بهذا الأمر بالتحديد مشكلة.
لم تصدر Wyze بيانًا عامًا حول الثغرات الأمنية الموجودة على موقعها حساب على موقع تويتر أو حسابات وسائل التواصل الاجتماعي الأخرى، اعتبارًا من وقت نشر هذه المقالة.
مصدر:الحافة, بيتدفندر