Tietoturvatutkija Bitdefender kertoi Wyzelle vuonna 2019, että hakkerit voivat käyttää Wyze Cam -videosyötteitä etänä, mutta Wyze ei kertonut kenellekään.
Wyze on myynyt edullisia älykkäitä turvakameroita alkuperäisestä Wyze Camista vuonna 2017 lähtien, ja se on myös haaroittunut muihin tuotekategorioihin (kuten kuulokkeet). Yrityksellä on kuitenkin ollut myös oma osansa ongelmista, ja toinen merkittävä ongelma on tullut ilmi - hakkerit voivat päästä käsiksi Wyze Camsin videosyötteisiin.
Bitdefender paljasti tiistaina julkisesti joukon tietoturva-aukkoja Wyzen turvakameroissa, jotka vaikuttivat Wyze Cam Pan v2:een. (ennen 4.49.1.47), Wyze Cam v2 (ennen 4.9.8.1002), Wyze Cam v3 (ennen 4.36.8.32) ja alkuperäinen Wyze Cam kaikissa laiteohjelmistoissa versiot. Ensimmäinen haavoittuvuus, joka tunnetaan nimellä CVE-2019-9564, antoi hakkereille mahdollisuuden ohittaa Wyze-laitteiden kirjautumisen ja päästä käsiksi kameran ohjaimiin. Bitdefender löysi myös pinopuskurin ylivuotohaavoittuvuuden (CVE-2019-12266
Tämän suojausvirheen hyödyntäminen edellyttää kameran alkuperäisen tunnuksen tuntemista, joka on satunnainen merkkijono, joka voidaan tallentaa vain liittymällä samaan paikalliseen verkkoon kameran kanssa. Tämä rajoittaa merkittävästi tietoturvavirheen laajuutta, koska hakkerin on ensin päästävä kotiverkkoosi ennen kuin hän pääsee Wyze-kameran videosyötteeseen.
Suurin ongelma tässä ei itse asiassa ole tietoturvaheikkous, vaan se, miten Wyze toimii hoidettu haavoittuvuus. Bitdefender kertoo ottaneensa yhteyttä Wyzeen kahdesti, ensin 6. maaliskuuta 2019 ja uudelleen 15. maaliskuuta 2019, eikä ilmeisesti saanut vastausta. Seuraavien kuukausien aikana Wyze päivitti joihinkin kameroihinsa kirjautumishaavoittuvuuden osittaisella korjauksella, mutta ei vieläkään reagoinut Bitdefenderiin. Vasta marraskuussa 2020 Wyze lopulta kommunikoi Bitdefenderin kanssa, ja lopulliset korjaukset otettiin käyttöön vasta tammikuussa 2022.
Wyze ei vain toiminut nopeasti ja työskennellyt Bitdefenderin kanssa tietoturvaongelmien ratkaisemiseksi, mutta yritys ei myöskään koskaan tunnustanut haavoittuvuutta asiakkailleen. Wyze kertoi The Verge että yritys on ollut avoin asiakkailleen ja "korjannut ongelman täysin", mutta alkuperäinen Wyze Cam ei koskaan saanut korjausta, eikä yritys ilmeisesti koskaan kertonut asiakkaille tästä ongelma.
Wyze ei ole julkaissut julkista lausuntoa sen tietoturva-aukoista Twitter-tili tai muilla sosiaalisen median tileillä tämän artikkelin julkaisuhetkellä.
Lähde:The Verge, Bitdefender