Turvateadlane Bitdefender ütles 2019. aastal Wyzele, et häkkerid pääsevad Wyze Cami videovoogudele kaugjuurdepääsuga, kuid Wyze ei rääkinud sellest kellelegi.
Wyze on müünud odavaid nutikaid turvakaameraid alates algsest Wyze Camist 2017. aastal ning on hargnenud ka teistesse tootekategooriatesse (nagu kõrvaklapid). Kuid ettevõttel on ka omajagu probleeme ja päevavalgele on tulnud veel üks oluline probleem – häkkerid võivad pääseda juurde Wyze Camsi videovoogudele.
Bitdefender paljastas teisipäeval avalikult Wyze'i turvakaamerate turvaaukude, mis mõjutasid Wyze Cam Pan v2. (enne 4.49.1.47), Wyze Cam v2 (enne 4.9.8.1002), Wyze Cam v3 (enne 4.36.8.32) ja originaal Wyze Cam kogu püsivara versioonid. Esimene haavatavus, tuntud kui CVE-2019-9564, võimaldas häkkeritel Wyze seadmete sisselogimisest mööda minna ja pääseda juurde kaamera juhtnuppudele. Bitdefender avastas ka virna puhvri ületäitumise haavatavuse (CVE-2019-12266), mida koos esimese turvaveaga kasutades saab kasutada kaugjuurdepääsu saamiseks kaamera videovoogudele.
Selle turvavea ärakasutamiseks on vaja teada kaamera algset ID-d, mis on juhuslik jada, mida saab salvestada ainult kaameraga samasse kohalikku võrku liitudes. See piirab oluliselt turbevea ulatust, kuna häkker peab enne Wyze kaamera videovoogu avamist saama juurdepääsu teie koduvõrgule.
Peamine probleem pole siin tegelikult turvanõrkus, vaid see, kuidas Wyze kasutab käsitletud haavatavus. Bitdefender ütleb, et võttis Wyzega ühendust kaks korda, esimest korda 6. märtsil 2019 ja uuesti 15. märtsil 2019, ning ilmselt ei saanud ta vastust. Järgmiste kuude jooksul värskendas Wyze mõnda oma kaamerat sisselogimise haavatavuse osalise parandusega, kuid Bitdefenderile vastamata. Alles 2020. aasta novembris võttis Wyze lõpuks Bitdefenderiga ühendust ja lõplikud parandused võeti kasutusele alles 2022. aasta jaanuaris.
Wyze mitte ainult ei tegutsenud kiiresti ega tegi Bitdefenderiga koostööd turvaprobleemide lahendamiseks, vaid ettevõte ei tunnistanud kunagi ka oma klientide haavatavust. Wyze rääkis The Verge et ettevõte on olnud oma klientidega läbipaistev ja "probleemi täielikult lahendanud", kuid originaal Wyze Cam ei saanud kunagi parandust ja näib, et ettevõte ei rääkinud klientidele sellest konkreetsest probleem.
Wyze ei ole avaldanud avalikku avaldust oma turvaaukude kohta Twitteri konto või muudel sotsiaalmeedia kontodel, selle artikli avaldamise seisuga.
Allikas:The Verge, Bitdefender