უსაფრთხოების მკვლევარმა Bitdefender-მა უთხრა Wyze-ს 2019 წელს, რომ ჰაკერებს შეეძლოთ დისტანციურად წვდომა Wyze Cam-ის ვიდეო არხებზე, მაგრამ Wyze-მა არავის უთხრა.
Wyze ყიდის იაფ ჭკვიან უსაფრთხოების კამერებს 2017 წლის ორიგინალური Wyze Cam-ის შემდეგ და ასევე გავრცელდა პროდუქტის სხვა კატეგორიებში (ყურსასმენების მსგავსად). თუმცა, კომპანიას ასევე ჰქონდა პრობლემების საკმაოდ დიდი წილი და კიდევ ერთი მნიშვნელოვანი საკითხი გამოიკვეთა - ჰაკერებს შეუძლიათ მიიღონ წვდომა Wyze Cams-ის ვიდეო არხებზე.
სამშაბათს Bitdefender-მა საჯაროდ გამოავლინა უსაფრთხოების ხარვეზების სერია Wyze-ს უსაფრთხოების კამერებში, რამაც გავლენა მოახდინა Wyze Cam Pan v2-ზე. (4.49.1.47-მდე), Wyze Cam v2 (4.9.8.1002-მდე), Wyze Cam v3 (4.36.8.32-მდე) და ორიგინალი Wyze Cam ყველა firmware-ზე ვერსიები. პირველი დაუცველობა, რომელიც ცნობილია როგორც CVE-2019-9564, ჰაკერებს უფლებას აძლევდა გვერდის ავლით შესვლას Wyze მოწყობილობებისთვის და მიეღოთ წვდომა კამერის სამართავზე. Bitdefender-მა ასევე აღმოაჩინა სტეკის ბუფერის გადინების დაუცველობა (CVE-2019-12266
), რომელიც უსაფრთხოების პირველ ხარვეზთან ერთად გამოყენებისას შეიძლება გამოყენებულ იქნას კამერის ვიდეო არხზე დისტანციური წვდომისთვის.უსაფრთხოების ამ ხარვეზის გამოყენება მოითხოვს კამერის საწყისი ID-ის ცოდნას, რომელიც არის შემთხვევითი სტრიქონი, რომლის ჩაწერა შესაძლებელია მხოლოდ იმავე ლოკალურ ქსელში შეერთებით, როგორც კამერა. ეს მნიშვნელოვნად ზღუდავს უსაფრთხოების ხარვეზის ფარგლებს, ვინაიდან ჰაკერს უპირველეს ყოვლისა მოუწევს თქვენს სახლის ქსელზე წვდომა Wyze კამერიდან ვიდეოს წვდომამდე.
აქ მთავარი პრობლემა არ არის უსაფრთხოების დაუცველობა, არამედ Wyze დამუშავებული დაუცველობა. Bitdefender ამბობს, რომ იგი ორჯერ დაუკავშირდა Wyze-ს, ჯერ 2019 წლის 6 მარტს და ისევ 2019 წლის 15 მარტს და, როგორც ჩანს, პასუხი არ მიუღია. მომდევნო თვეების განმავლობაში, Wyze-მ განაახლა თავისი ზოგიერთი კამერა შესვლის დაუცველობის ნაწილობრივი შესწორებით, ჯერ კიდევ Bitdefender-ზე რეაგირების გარეშე. 2020 წლის ნოემბრამდე Wyze საბოლოოდ დაუკავშირდა Bitdefender-ს და საბოლოო შესწორებები არ განთავსდა 2022 წლის იანვრამდე.
Wyze-მა არა მხოლოდ სწრაფად არ იმოქმედა და არ იმუშავა Bitdefender-თან უსაფრთხოების საკითხების გადასაჭრელად, არამედ კომპანიამ ასევე არასოდეს აღიარა დაუცველობა მისი მომხმარებლებისთვის. უაიზმა უთხრა ზღვარზე რომ კომპანია გამჭვირვალე იყო თავის მომხმარებლებთან და "სრულად გამოასწორა საკითხი", მაგრამ ორიგინალური Wyze Cam არასოდეს მიუღია გამოსწორება და, როგორც ჩანს, კომპანიას არასოდეს უთქვამს მომხმარებელს ამის შესახებ პრობლემა.
Wyze-ს არ გაუკეთებია საჯარო განცხადება უსაფრთხოების ხარვეზების შესახებ Twitter ანგარიში ან სხვა სოციალური მედიის ანგარიშები, ამ სტატიის გამოქვეყნების მომენტიდან.
წყარო:ზღვარზე, Bitdefender