Le chercheur en sécurité Bitdefender a déclaré à Wyze en 2019 que les pirates pouvaient accéder à distance aux flux vidéo de Wyze Cam, mais Wyze ne l'a dit à personne.
Wyze vend des caméras de sécurité intelligentes bon marché depuis la Wyze Cam originale en 2017, et s'est également diversifiée dans d'autres catégories de produits (comme des écouteurs). Cependant, la société a également eu son lot de problèmes, et un autre problème important est apparu: les pirates informatiques pourraient accéder aux flux vidéo de Wyze Cams.
Bitdefender a révélé publiquement mardi une série de vulnérabilités de sécurité dans les caméras de sécurité de Wyze, qui ont affecté la Wyze Cam Pan v2. (avant 4.49.1.47), Wyze Cam v2 (avant 4.9.8.1002), Wyze Cam v3 (avant 4.36.8.32) et la Wyze Cam d'origine sur tous les micrologiciels versions. La première vulnérabilité, connue sous le nom de CVE-2019-9564, a permis aux pirates de contourner la connexion des appareils Wyze et d'accéder aux commandes de la caméra. Bitdefender a également découvert une vulnérabilité de dépassement de tampon de pile (
CVE-2019-12266), qui, lorsqu'il est utilisé en combinaison avec la première faille de sécurité, peut être utilisé pour accéder à distance au flux vidéo d'une caméra.Pour profiter de cette faille de sécurité, il faut connaître l'identifiant initial de la caméra, qui est une chaîne aléatoire qui ne peut être enregistrée qu'en rejoignant le même réseau local que la caméra. Cela limite considérablement la portée de la faille de sécurité, puisqu'un pirate informatique devrait d'abord accéder à votre réseau domestique avant d'accéder au flux vidéo d'une caméra Wyze.
Le principal problème ici n'est pas réellement la vulnérabilité de sécurité, mais la façon dont Wyze manipulé la vulnérabilité. Bitdefender affirme avoir contacté Wyze à deux reprises, d'abord le 6 mars 2019, puis de nouveau le 15 mars 2019, et n'avoir apparemment reçu aucune réponse. Au cours des mois suivants, Wyze a mis à jour certaines de ses caméras avec un correctif partiel pour la vulnérabilité de connexion, toujours sans répondre à Bitdefender. Ce n'est qu'en novembre 2020 que Wyze a finalement communiqué avec Bitdefender, et les correctifs finaux n'ont été déployés qu'en janvier 2022.
Non seulement Wyze n’a pas agi rapidement et n’a pas travaillé avec Bitdefender pour résoudre les problèmes de sécurité, mais l’entreprise n’a jamais non plus reconnu la vulnérabilité de ses clients. Wyze a dit Le bord que l'entreprise a été transparente avec ses clients et a « entièrement corrigé le problème », mais le La Wyze Cam d'origine n'a jamais reçu de correctif, et la société n'a apparemment jamais informé ses clients de ce problème spécifique. problème.
Wyze n'a pas publié de déclaration publique sur les failles de sécurité de son Compte Twitter ou d'autres comptes de médias sociaux, à la date de publication de cet article.
Source:Le bord, Bitdefender