Sikkerhedsforsker Bitdefender fortalte Wyze i 2019, at hackere kunne eksternt få adgang til Wyze Cam-videofeeds, men Wyze fortalte det ikke til nogen.
Wyze har solgt billige smarte sikkerhedskameraer siden det originale Wyze Cam i 2017, og har også forgrenet sig til andre produktkategorier (som øretelefoner). Virksomheden har dog også haft sin rimelige andel af problemer, og et andet væsentligt problem er kommet frem - hackere kunne få adgang til videofeeds fra Wyze Cams.
Bitdefender afslørede offentligt en række sikkerhedssårbarheder i Wyzes sikkerhedskameraer i tirsdags, som påvirkede Wyze Cam Pan v2 (før 4.49.1.47), Wyze Cam v2 (før 4.9.8.1002), Wyze Cam v3 (før 4.36.8.32) og den originale Wyze Cam på al firmware versioner. Den første sårbarhed, kendt som CVE-2019-9564, tillod hackere at omgå login til Wyze-enheder og få adgang til kamerakontroller. Bitdefender opdagede også en stackbufferoverløbssårbarhed (CVE-2019-12266), som, når det bruges i kombination med den første sikkerhedsfejl, kan bruges til at få fjernadgang til et kameras videofeed.
At drage fordel af denne sikkerhedsbrist kræver at kende det oprindelige kamera-id, som er en tilfældig streng, der kun kan optages ved at tilslutte sig det samme lokale netværk som kameraet. Det begrænser omfanget af sikkerhedsfejlen markant, da en hacker først skal få adgang til dit hjemmenetværk, før han får adgang til videofeedet fra et Wyze-kamera.
Hovedproblemet her er faktisk ikke sikkerhedssårbarheden, det er hvordan Wyze håndteres sårbarheden. Bitdefender siger, at det kontaktede Wyze to gange, først den 6. marts 2019 og igen den 15. marts 2019, og tilsyneladende ikke modtog noget svar. I løbet af de følgende måneder opdaterede Wyze nogle af sine kameraer med en delvis rettelse af login-sårbarheden, stadig uden at svare på Bitdefender. Det var først i november 2020, at Wyze endelig kommunikerede med Bitdefender, og de endelige rettelser blev først implementeret i januar 2022.
Ikke alene handlede Wyze ikke hurtigt og arbejdede sammen med Bitdefender for at løse sikkerhedsproblemerne, men virksomheden anerkendte heller aldrig sårbarheden over for sine kunder. Wyze fortalte Randen at virksomheden har været gennemsigtig over for sine kunder og "fuldstændig rettet problemet," men den originale Wyze Cam modtog aldrig en rettelse, og virksomheden fortalte tilsyneladende aldrig kunderne om dette specifikke problem.
Wyze har ikke udgivet en offentlig erklæring om sikkerhedssårbarhederne på dens Twitter-konto eller andre konti på sociale medier, da denne artikel blev offentliggjort.
Kilde:Randen, Bitdefender