חוקר האבטחה Bitdefender אמר ל-Wyze ב-2019 שהאקרים יכולים לגשת מרחוק לעדכוני הווידאו של Wyze Cam, אבל Wyze לא סיפר לאף אחד.
Wyze מוכרת מצלמות אבטחה חכמות לא יקרות מאז ה-Wyze Cam המקורית ב-2017, והסתעפה גם לקטגוריות מוצרים אחרות (כמו אוזניות). עם זאת, לחברה היו גם חלק נכבד של בעיות, ונושא משמעותי נוסף התגלה - האקרים יכולים לקבל גישה לעדכוני הווידאו מ-Wyze Cams.
Bitdefender חשף ביום שלישי בפומבי סדרה של פרצות אבטחה במצלמות האבטחה של Wyze, שהשפיעו על Wyze Cam Pan v2 (לפני 4.49.1.47), Wyze Cam v2 (לפני 4.9.8.1002), Wyze Cam v3 (לפני 4.36.8.32), וה-Wyze Cam המקורי בכל הקושחה גרסאות. הפגיעות הראשונה, המכונה CVE-2019-9564, אפשרו להאקרים לעקוף את הכניסה למכשירי Wyze ולקבל גישה לבקרת המצלמה. Bitdefender גילה גם פגיעות של הצפת מאגר מחסנית (CVE-2019-12266), שבשימוש בשילוב עם ליקוי האבטחה הראשון, ניתן להשתמש בו כדי לקבל גישה מרחוק להזנת הווידאו של המצלמה.
ניצול ליקוי האבטחה הזה מחייב לדעת את מזהה המצלמה הראשוני, שהוא מחרוזת אקראית שניתן להקליט רק על ידי הצטרפות לאותה רשת מקומית כמו המצלמה. זה מגביל באופן משמעותי את היקף פגם האבטחה, מכיוון שהאקר יצטרך קודם כל לקבל גישה לרשת הביתית שלך לפני גישה לעדכון הווידאו ממצלמת Wyze.
הבעיה העיקרית כאן היא בעצם לא פגיעות האבטחה, זה איך Wyze טופל את הפגיעות. Bitdefender אומרת שהיא יצרה קשר עם Wyze פעמיים, תחילה ב-6 במרץ 2019 ושוב ב-15 במרץ 2019, וככל הנראה לא קיבלה תגובה. במהלך החודשים הבאים, Wyze עדכנה כמה מהמצלמות שלה עם תיקון חלקי לפגיעות הכניסה, עדיין מבלי להגיב ל-Bitdefender. רק בנובמבר 2020 התקשר Wyze סוף סוף עם Bitdefender, והתיקונים הסופיים לא נפרסו עד ינואר 2022.
לא רק ש-Wyze לא פעלה במהירות ועבדה עם Bitdefender כדי לטפל בבעיות האבטחה, אלא שהחברה אף פעם לא הכירה בפגיעות ללקוחותיה. וייז סיפר הגבול שהחברה הייתה שקופה מול לקוחותיה ו"תיקנה את הבעיה במלואה", אבל ה Wyze Cam המקורית מעולם לא קיבלה תיקון, ולכאורה החברה מעולם לא סיפרה ללקוחות על הספציפי הזה נושא.
Wyze לא פרסמה הצהרה פומבית על פרצות האבטחה שלה חשבון טוויטר או חשבונות מדיה חברתית אחרים, נכון לתאריך פרסום מאמר זה.
מָקוֹר:הגבול, Bitdefender