El investigador de seguridad Bitdefender le dijo a Wyze en 2019 que los piratas informáticos podían acceder de forma remota a las transmisiones de video de Wyze Cam, pero Wyze no se lo dijo a nadie.
Wyze ha estado vendiendo cámaras de seguridad inteligentes económicas desde la Wyze Cam original en 2017 y también se ha diversificado en otras categorías de productos (como auriculares). Sin embargo, la compañía también ha tenido una buena cantidad de problemas y ha salido a la luz otro problema importante: los piratas informáticos podrían obtener acceso a las transmisiones de video de Wyze Cams.
Bitdefender reveló públicamente el martes una serie de vulnerabilidades de seguridad en las cámaras de seguridad de Wyze, que afectaron a Wyze Cam Pan v2. (anterior a 4.49.1.47), Wyze Cam v2 (anterior a 4.9.8.1002), Wyze Cam v3 (anterior a 4.36.8.32) y la Wyze Cam original en todos los firmware versiones. La primera vulnerabilidad, conocida como CVE-2019-9564, permitió a los piratas informáticos omitir el inicio de sesión de los dispositivos Wyze y obtener acceso a los controles de la cámara. Bitdefender también descubrió una vulnerabilidad de desbordamiento del búfer de pila (
CVE-2019-12266), que cuando se usa en combinación con la primera falla de seguridad, se puede usar para obtener acceso remoto a la transmisión de video de una cámara.Aprovechar esta falla de seguridad requiere conocer la identificación inicial de la cámara, que es una cadena aleatoria que solo se puede registrar uniéndose a la misma red local que la cámara. Eso limita significativamente el alcance de la falla de seguridad, ya que un pirata informático primero tendría que obtener acceso a su red doméstica antes de acceder a la transmisión de video desde una cámara Wyze.
El principal problema aquí no es en realidad la vulnerabilidad de seguridad, sino cómo Wyze manejado la vulnerabilidad. Bitdefender dice que se comunicó con Wyze dos veces, primero el 6 de marzo de 2019 y nuevamente el 15 de marzo de 2019, y aparentemente no recibió respuesta. Durante los meses siguientes, Wyze actualizó algunas de sus cámaras con una solución parcial para la vulnerabilidad de inicio de sesión, aún sin responder a Bitdefender. No fue hasta noviembre de 2020 que Wyze finalmente se comunicó con Bitdefender y las correcciones finales no se implementaron hasta enero de 2022.
Wyze no solo no actuó rápidamente y no trabajó con Bitdefender para abordar los problemas de seguridad, sino que la empresa nunca reconoció la vulnerabilidad a sus clientes. Wyze dijo El borde que la empresa ha sido transparente con sus clientes y "corrigió completamente el problema", pero la La Wyze Cam original nunca recibió una solución y la compañía aparentemente nunca informó a los clientes sobre este problema específico. asunto.
Wyze no ha publicado una declaración pública sobre las vulnerabilidades de seguridad en su Cuenta de Twitter u otras cuentas de redes sociales, a partir del momento en que se publicó este artículo.
Fuente:El borde, Bitdefender