Wyze は 2019 年にカメラのセキュリティ上の欠陥を発見したが、誰にも知らせなかった

セキュリティ研究者のBitdefender氏は2019年にWyzeに対し、ハッカーがWyze Camのビデオフィードにリモートからアクセスできると語ったが、Wyzeは誰にも伝えなかった。

Wyze は、2017 年の初代 Wyze Cam 以来、安価なスマート セキュリティ カメラを販売しており、他の製品カテゴリにも手を広げています (イヤホンのように). しかし、同社は相応の問題も抱えており、ハッカーが Wyze Cams からのビデオ フィードにアクセスできる可能性があるという別の重大な問題も明らかになりました。

Bitdefenderは火曜日、Wyzeのセキュリティカメラに一連のセキュリティ脆弱性があり、Wyze Cam Pan v2に影響を与えたことを公表した。 (4.49.1.47 以前)、Wyze Cam v2 (4.9.8.1002 以前)、Wyze Cam v3 (4.36.8.32 以前)、およびすべてのファームウェア上のオリジナルの Wyze Cam バージョン。 として知られる最初の脆弱性 CVE-2019-9564、ハッカーが Wyze デバイスのログインをバイパスし、カメラ コントロールにアクセスできるようになりました。 Bitdefender はスタック バッファ オーバーフローの脆弱性も発見しました (CVE-2019-12266) を最初のセキュリティ上の欠陥と組み合わせて使用​​すると、カメラのビデオ フィードにリモート アクセスできるようになります。

このセキュリティ上の欠陥を利用するには、初期のカメラ ID を知る必要があります。これは、カメラと同じローカル ネットワークに参加する場合にのみ記録できるランダムな文字列です。 これにより、ハッカーは Wyze カメラからのビデオ フィードにアクセスする前に、まずホーム ネットワークにアクセスする必要があるため、セキュリティ上の欠陥の範囲が大幅に制限されます。

ここでの主な問題は実際にはセキュリティの脆弱性ではなく、Wyze のセキュリティの脆弱性です。 処理された 脆弱性。 Bitdefenderによると、最初は2019年3月6日、もう1回は2019年3月15日の2回、Wyzeに連絡を取ったが、明らかに返答は得られなかったという。 それから数か月間、Wyze はログインの脆弱性を部分的に修正して一部のカメラを更新しましたが、依然として Bitdefender には対応していませんでした。 Wyze が最終的に Bitdefender と通信したのは 2020 年 11 月になってからであり、最終的な修正は 2022 年 1 月まで展開されませんでした。

2022 年 1 月 6 日に Wyze 顧客に送信された電子メール (出典: The Verge)

Wyze はセキュリティ問題に対処するために迅速に行動せず、Bitdefender と協力しなかっただけでなく、顧客に対して脆弱性をまったく認めませんでした。 ワイズは語った。 ザ・ヴァージ 同社は顧客に対して透明性を保ち、「問題を完全に修正した」と述べたが、 オリジナルの Wyze Cam は修正を受けず、同社はこの問題について顧客にまったく伝えていないようです 問題。

Wyze は、自社のセキュリティ脆弱性について公式声明を発表していません。 ツイッターアカウント またはその他のソーシャル メディア アカウントは、この記事が公開された時点でのものです。

ソース:ザ・ヴァージ, ビットディフェンダー