Bezpečnostní výzkumník Bitdefender řekl Wyze v roce 2019, že hackeři mohou vzdáleně přistupovat k video kanálům Wyze Cam, ale Wyze to nikomu neřekl.
Wyze prodává levné chytré bezpečnostní kamery od původního Wyze Cam v roce 2017 a rozšířila se také do dalších kategorií produktů (jako špunty do uší). Společnost však měla také svůj slušný podíl na problémech a na světlo vyšel další významný problém – hackeři by mohli získat přístup k video kanálům z Wyze Cams.
Bitdefender v úterý veřejně odhalil řadu bezpečnostních zranitelností v bezpečnostních kamerách Wyze, které ovlivnily Wyze Cam Pan v2. (před 4.49.1.47), Wyze Cam v2 (před 4.9.8.1002), Wyze Cam v3 (před 4.36.8.32) a původní Wyze Cam na všech firmwarech verze. První zranitelnost, tzv CVE-2019-9564, umožnil hackerům obejít přihlášení pro zařízení Wyze a získat přístup k ovládacím prvkům kamery. Bitdefender také objevil zranitelnost přetečení zásobníku zásobníku (CVE-2019-12266), který při použití v kombinaci s první bezpečnostní chybou lze použít k získání vzdáleného přístupu k videu z kamery.
Využití této bezpečnostní chyby vyžaduje znát počáteční ID kamery, což je náhodný řetězec, který lze zaznamenat pouze připojením ke stejné místní síti jako kamera. To výrazně omezuje rozsah bezpečnostní chyby, protože hacker by musel nejprve získat přístup k vaší domácí síti, než přistoupí k videu z kamery Wyze.
Hlavním problémem zde ve skutečnosti není bezpečnostní zranitelnost, ale způsob, jakým Wyze vyřízeno zranitelnost. Bitdefender říká, že kontaktoval Wyze dvakrát, poprvé 6. března 2019 a znovu 15. března 2019, a zjevně neobdržel žádnou odpověď. Během následujících měsíců společnost Wyze aktualizovala některé své kamery částečnou opravou zranitelnosti přihlášení, aniž by reagovala na Bitdefender. Až v listopadu 2020 Wyze konečně komunikoval s Bitdefenderem a finální opravy byly nasazeny až v lednu 2022.
Wyze nejenže nejednal rychle a nespolupracoval s Bitdefenderem na řešení bezpečnostních problémů, ale společnost také nikdy nepřiznala zranitelnost vůči svým zákazníkům. řekl Wyze The Verge že společnost byla vůči svým zákazníkům transparentní a „zcela problém napravila“, ale původní Wyze Cam nikdy neobdržela opravu a zdá se, že společnost o tom zákazníkům nikdy neřekla problém.
Společnost Wyze nezveřejnila veřejné prohlášení o svých bezpečnostních slabinách Twitter účet nebo na jiných účtech na sociálních sítích v době, kdy byl tento článek publikován.
Zdroj:The Verge, Bitdefender