Wyze는 2019년에 카메라 보안 결함을 발견했지만 아무에게도 말하지 않았습니다.

보안 연구원인 Bitdefender는 2019년 Wyze에 해커가 Wyze Cam 비디오 피드에 원격으로 액세스할 수 있다고 밝혔지만 Wyze는 아무에게도 말하지 않았습니다.

와이즈는 2017년 오리지널 와이즈 캠(Wyze Cam) 이후 저렴한 스마트 보안 카메라를 판매해 왔으며, 다른 제품 카테고리로도 영역을 넓혀왔다.이어폰처럼). 그러나 회사에는 상당한 문제가 있었고 또 다른 중요한 문제가 밝혀졌습니다. 해커가 Wyze Cams의 비디오 피드에 액세스할 수 있다는 것입니다.

Bitdefender는 화요일에 Wyze 보안 카메라의 일련의 보안 취약점을 공개했으며, 이는 Wyze Cam Pan v2에 영향을 미쳤습니다. (4.49.1.47 이전), Wyze Cam v2(4.9.8.1002 이전), Wyze Cam v3(4.36.8.32 이전) 및 모든 펌웨어의 원래 Wyze Cam 버전. 첫 번째 취약점으로 알려진 CVE-2019-9564, 해커가 Wyze 장치에 대한 로그인을 우회하고 카메라 제어에 액세스할 수 있도록 허용했습니다. Bitdefender는 또한 스택 버퍼 오버플로 취약점(CVE-2019-12266)를 첫 번째 보안 결함과 함께 사용하면 카메라의 비디오 피드에 원격으로 액세스할 수 있습니다.

이 보안 결함을 활용하려면 카메라와 동일한 로컬 네트워크에 연결해야만 기록할 수 있는 임의 문자열인 초기 카메라 ID를 알아야 합니다. 해커가 Wyze 카메라의 비디오 피드에 액세스하기 전에 먼저 홈 네트워크에 액세스해야 하기 때문에 이는 보안 결함의 범위를 크게 제한합니다.

여기서 가장 큰 문제는 실제로 보안 취약점이 아니라 Wyze의 보안 취약점입니다. 처리 취약점. Bitdefender는 Wyze에 2019년 3월 6일과 2019년 3월 15일에 두 번 연락했지만 응답을 받지 못했다고 밝혔습니다. 다음 달에 걸쳐 Wyze는 로그인 취약점에 대한 부분 수정으로 일부 카메라를 업데이트했지만 여전히 Bitdefender에 응답하지 않았습니다. Wyze가 마침내 Bitdefender와 통신한 것은 2020년 11월이 되어서야였으며 최종 수정 사항은 2022년 1월까지 배포되지 않았습니다.

2022년 1월 6일에 Wyze 고객에게 보낸 이메일(출처: The Verge)

Wyze는 보안 문제를 해결하기 위해 신속하게 조치를 취하고 Bitdefender와 협력하지 않았을 뿐만 아니라 회사는 고객에 대한 취약성을 결코 인정하지 않았습니다. 와이즈가 말했어 더 버지 회사는 고객에게 투명하게 설명하고 "문제를 완전히 시정했다"고 밝혔지만, 원래 Wyze Cam은 수정 사항을 받은 적이 없으며 회사는 고객에게 이 특정 사항에 대해 말한 적이 없는 것 같습니다. 문제.

Wyze는 보안 취약점에 대한 공개 성명을 발표하지 않았습니다. 트위터 계정 또는 기타 소셜 미디어 계정(이 기사가 게시된 시점 기준).

원천:더 버지, 비트디펜더