Sigurnosni istraživač Bitdefender rekao je Wyzeu 2019. da hakeri mogu daljinski pristupiti video feedovima Wyze Cama, ali Wyze nikome nije rekao.
Wyze prodaje jeftine pametne sigurnosne kamere od originalnog Wyze Cama 2017., a također se razgranao u druge kategorije proizvoda (poput slušalica). Međutim, tvrtka je također imala dosta problema, a na vidjelo je izašlo još jedno značajno pitanje — hakeri bi mogli dobiti pristup video izvorima s Wyze kamera.
Bitdefender je u utorak javno otkrio niz sigurnosnih propusta u sigurnosnim kamerama Wyzea, koji su utjecali na Wyze Cam Pan v2 (prije 4.49.1.47), Wyze Cam v2 (prije 4.9.8.1002), Wyze Cam v3 (prije 4.36.8.32) i originalni Wyze Cam na svim firmverima verzije. Prva ranjivost, poznata kao CVE-2019-9564, omogućio je hakerima da zaobiđu prijavu za Wyze uređaje i dobiju pristup kontrolama kamere. Bitdefender je također otkrio ranjivost prekoračenja međuspremnika stog (CVE-2019-12266), koji se, kada se koristi u kombinaciji s prvom sigurnosnom greškom, može koristiti za dobivanje daljinskog pristupa video feedu kamere.
Iskorištavanje ovog sigurnosnog propusta zahtijeva poznavanje početnog ID-a kamere, koji je nasumični niz koji se može snimiti samo pridruživanjem istoj lokalnoj mreži kao i kamera. To značajno ograničava opseg sigurnosne pogreške, budući da bi haker prvo morao dobiti pristup vašoj kućnoj mreži prije nego što pristupi video feedu s Wyze kamere.
Glavni problem ovdje zapravo nije sigurnosna ranjivost, već kako Wyze rukovao ranjivost. Bitdefender kaže da je dvaput kontaktirao Wyze, prvi put 6. ožujka 2019. i ponovno 15. ožujka 2019., i očito nije dobio nikakav odgovor. Tijekom sljedećih mjeseci, Wyze je ažurirao neke od svojih kamera s djelomičnim popravkom ranjivosti prijave, i dalje bez odgovora Bitdefenderu. Tek u studenom 2020. Wyze je konačno komunicirao s Bitdefenderom, a konačni popravci nisu implementirani do siječnja 2022.
Ne samo da Wyze nije brzo djelovao i surađivao s Bitdefenderom na rješavanju sigurnosnih problema, već tvrtka također nikada nije priznala ranjivost svojim korisnicima. rekao je Wyze The Verge da je tvrtka bila transparentna sa svojim kupcima i "u potpunosti je ispravila problem", ali originalni Wyze Cam nikada nije dobio popravak, a tvrtka naizgled nikada nije rekla kupcima o tome problem.
Wyze nije objavio javnu izjavu o sigurnosnim propustima na svom Twitter račun ili drugim računima društvenih medija od trenutka objave ovog članka.
Izvor:The Verge, Bitdefender