Der Sicherheitsforscher Bitdefender sagte Wyze im Jahr 2019, dass Hacker aus der Ferne auf die Video-Feeds der Wyze Cam zugreifen könnten, aber Wyze erzählte es niemandem.
Wyze verkauft seit der ursprünglichen Wyze Cam im Jahr 2017 kostengünstige intelligente Sicherheitskameras und hat sich auch auf andere Produktkategorien ausgeweitet (wie Ohrhörer). Allerdings hatte das Unternehmen auch einige Probleme, und ein weiteres wichtiges Problem ist ans Licht gekommen: Hacker könnten Zugriff auf die Video-Feeds von Wyze Cams erhalten.
Bitdefender hat am Dienstag öffentlich eine Reihe von Sicherheitslücken in den Überwachungskameras von Wyze aufgedeckt, die die Wyze Cam Pan v2 betrafen (vor 4.49.1.47), Wyze Cam v2 (vor 4.9.8.1002), Wyze Cam v3 (vor 4.36.8.32) und die ursprüngliche Wyze Cam auf allen Firmwares Versionen. Die erste Sicherheitslücke, bekannt als CVE-2019-9564ermöglichte es Hackern, die Anmeldung für Wyze-Geräte zu umgehen und Zugriff auf die Kamerasteuerung zu erhalten. Bitdefender hat außerdem eine Schwachstelle bezüglich eines Stapelpufferüberlaufs entdeckt (
CVE-2019-12266), die in Kombination mit der ersten Sicherheitslücke verwendet werden kann, um Fernzugriff auf den Video-Feed einer Kamera zu erhalten.Um diese Sicherheitslücke auszunutzen, muss man die anfängliche Kamera-ID kennen, bei der es sich um eine zufällige Zeichenfolge handelt, die nur aufgezeichnet werden kann, wenn man sich demselben lokalen Netzwerk wie die Kamera anschließt. Das schränkt den Umfang der Sicherheitslücke erheblich ein, da ein Hacker sich zunächst Zugang zu Ihrem Heimnetzwerk verschaffen müsste, bevor er auf den Video-Feed einer Wyze-Kamera zugreifen kann.
Das Hauptproblem hierbei ist nicht die eigentliche Sicherheitslücke, sondern die Art und Weise, wie Wyze abgewickelt die Verletzlichkeit. Bitdefender gibt an, Wyze zweimal kontaktiert zu haben, zuerst am 6. März 2019 und erneut am 15. März 2019, und offenbar keine Antwort erhalten habe. In den folgenden Monaten aktualisierte Wyze einige seiner Kameras mit einer teilweisen Behebung der Login-Schwachstelle, ohne jedoch auf Bitdefender zu reagieren. Erst im November 2020 kommunizierte Wyze endlich mit Bitdefender und die endgültigen Korrekturen wurden erst im Januar 2022 bereitgestellt.
Wyze hat nicht nur nicht schnell reagiert und nicht mit Bitdefender zusammengearbeitet, um die Sicherheitsprobleme zu beheben, sondern das Unternehmen hat die Sicherheitslücke gegenüber seinen Kunden auch nie anerkannt. Wyze erzählte Der Rand dass das Unternehmen gegenüber seinen Kunden transparent war und „das Problem vollständig behoben“ hat, aber das Die Original-Wyze-Cam erhielt nie eine Lösung, und das Unternehmen hat den Kunden offenbar nie davon erzählt Ausgabe.
Wyze hat keine öffentliche Stellungnahme zu den Sicherheitslücken veröffentlicht Twitter-Konto oder andere Social-Media-Konten zum Zeitpunkt der Veröffentlichung dieses Artikels.
Quelle:Der Rand, Bitdefender