Wyze разбра за пропуск в сигурността на камерата през 2019 г. и не каза на никого

Изследователят по сигурността Bitdefender каза на Wyze през 2019 г., че хакерите могат да имат отдалечен достъп до видео емисиите на Wyze Cam, но Wyze не каза на никого.

Wyze продава евтини интелигентни камери за сигурност от оригиналната Wyze Cam през 2017 г. и също така се разклони в други продуктови категории (като слушалки). Компанията обаче също имаше своя дял от проблеми и друг важен проблем излезе наяве - хакерите могат да получат достъп до видео емисиите от Wyze Cams.

Bitdefender публично разкри поредица от уязвимости в сигурността на охранителните камери на Wyze във вторник, които засегнаха Wyze Cam Pan v2 (преди 4.49.1.47), Wyze Cam v2 (преди 4.9.8.1002), Wyze Cam v3 (преди 4.36.8.32) и оригиналната Wyze Cam на целия фърмуер версии. Първата уязвимост, известна като CVE-2019-9564, позволи на хакерите да заобиколят влизането за устройствата Wyze и да получат достъп до контролите на камерата. Bitdefender също откри уязвимост при препълване на буфера на стека (CVE-2019-12266), който, когато се използва в комбинация с първия пропуск в сигурността, може да се използва за получаване на отдалечен достъп до видео потока на камерата.

Възползването от този пропуск в сигурността изисква да знаете първоначалния идентификатор на камерата, който е произволен низ, който може да бъде записан само чрез присъединяване към същата локална мрежа като камерата. Това значително ограничава обхвата на пропуска в сигурността, тъй като хакерът първо трябва да получи достъп до вашата домашна мрежа, преди да получи достъп до видео емисия от Wyze камера.

Основният проблем тук всъщност не е уязвимостта на сигурността, а как Wyze обработван уязвимостта. Bitdefender казва, че се е свързал с Wyze два пъти, първо на 6 март 2019 г. и отново на 15 март 2019 г., и очевидно не е получил отговор. През следващите месеци Wyze актуализира някои от камерите си с частична корекция за уязвимостта при влизане, все още без да отговаря на Bitdefender. Едва през ноември 2020 г. Wyze най-накрая комуникира с Bitdefender и окончателните корекции не бяха внедрени до януари 2022 г.

Имейл, изпратен до клиенти на Wyze на 6 януари 2022 г. (Източник: The Verge)

Wyze не само не действа бързо и не работи с Bitdefender за справяне с проблемите със сигурността, но компанията никога не признава уязвимостта пред своите клиенти. Wyze каза На ръба че компанията е била прозрачна с клиентите си и е „напълно коригирала проблема“, но оригиналната Wyze Cam никога не е получавала корекция и компанията изглежда никога не е казвала на клиентите за това проблем.

Wyze не е публикувал публично изявление относно уязвимостите в сигурността на своя Twitter акаунт или други акаунти в социални медии към момента на публикуване на тази статия.

източник:На ръба, Bitdefender