Bitdefender biztonsági kutató 2019-ben elmondta a Wyze-nek, hogy a hackerek távolról hozzáférhetnek a Wyze Cam videohírcsatornáihoz, de a Wyze nem szólt senkinek.
A Wyze az eredeti Wyze Cam 2017-es megjelenése óta értékesít olcsó intelligens biztonsági kamerákat, és más termékkategóriákra is kiterjedt (mint a fülhallgatók). Azonban a cégnek is megvolt a maga része a problémákban, és egy másik jelentős probléma is napvilágra került: a hackerek hozzáférhetnek a Wyze Cams videofolyamaihoz.
A Bitdefender kedden nyilvánosan felfedte egy sor biztonsági rést a Wyze biztonsági kameráiban, amelyek a Wyze Cam Pan v2-t érintették. (4.49.1.47 előtt), Wyze Cam v2 (4.9.8.1002 előtt), Wyze Cam v3 (4.36.8.32 előtt) és az eredeti Wyze Cam minden firmware-en verziók. Az első sebezhetőség, az ún CVE-2019-9564, lehetővé tette a hackerek számára, hogy megkerüljék a Wyze-eszközök bejelentkezését, és hozzáférjenek a kameravezérlőkhöz. A Bitdefender egy verempuffer túlcsordulási sebezhetőséget is felfedezett (CVE-2019-12266
), amelyet az első biztonsági hibával együtt használva távoli hozzáférést lehet elérni a kamera videocsatornájához.Ennek a biztonsági hibának a kihasználásához ismerni kell a kezdeti kameraazonosítót, amely egy véletlenszerű karakterlánc, amelyet csak akkor lehet rögzíteni, ha csatlakozik ugyanahhoz a helyi hálózathoz, mint a kamera. Ez jelentősen korlátozza a biztonsági hiba hatókörét, mivel a hackernek először hozzá kell férnie az otthoni hálózathoz, mielőtt hozzáférne a Wyze kamerájából származó videóhoz.
A fő probléma itt valójában nem a biztonsági rés, hanem a Wyze működése kezelt a sebezhetőséget. A Bitdefender azt állítja, hogy kétszer is felvette a kapcsolatot a Wyze-zel, először 2019. március 6-án, majd 2019. március 15-én, és láthatóan nem kapott választ. A következő hónapokban a Wyze frissítette néhány kameráját a bejelentkezési sebezhetőség részleges javításával, még mindig nem reagált a Bitdefenderre. A Wyze végül csak 2020 novemberében kommunikált a Bitdefenderrel, és a végső javításokat csak 2022 januárjában vezették be.
A Wyze nemcsak nem lépett gyorsan, és nem működött együtt a Bitdefenderrel a biztonsági problémák megoldásában, de a vállalat soha nem ismerte el ügyfelei számára a sebezhetőséget. Wyze elmondta A perem hogy a cég átlátható volt ügyfelei felé, és "teljes mértékben kijavította a problémát", de a Az eredeti Wyze Cam soha nem kapott javítást, és a cég látszólag soha nem beszélt erről az ügyfeleknek probléma.
A Wyze nem tett közzé nyilvános nyilatkozatot a rajta található biztonsági résekről Twitter fiók vagy más közösségi média fiókok, a cikk közzétételének időpontjában.
Forrás:A perem, Bitdefender