Saugumo tyrinėtojas „Bitdefender“ 2019 m. pasakė „Wyze“, kad įsilaužėliai gali nuotoliniu būdu pasiekti „Wyze Cam“ vaizdo įrašų kanalus, tačiau „Wyze“ niekam nesakė.
„Wyze“ parduoda nebrangias išmaniąsias apsaugos kameras nuo originalios „Wyze Cam“ 2017 m., taip pat išsiplėtė į kitas produktų kategorijas (kaip ausines). Tačiau bendrovė taip pat turėjo nemažą dalį problemų ir paaiškėjo dar viena svarbi problema - įsilaužėliai galėjo gauti prieigą prie „Wyze Cams“ vaizdo įrašų tiekimo.
Antradienį „Bitdefender“ viešai atskleidė daugybę „Wyze“ apsaugos kamerų saugumo spragų, kurios paveikė „Wyze Cam Pan v2“ (iki 4.49.1.47), Wyze Cam v2 (iki 4.9.8.1002), Wyze Cam v3 (iki 4.36.8.32) ir originali Wyze Cam visoje programinėje įrangoje versijos. Pirmasis pažeidžiamumas, žinomas kaip CVE-2019-9564, leido įsilaužėliams apeiti Wyze įrenginių prisijungimą ir gauti prieigą prie fotoaparato valdiklių. „Bitdefender“ taip pat atrado dėklo buferio perpildymo pažeidžiamumą (CVE-2019-12266), kuris, naudojant kartu su pirmuoju saugos trūkumu, gali būti naudojamas norint gauti nuotolinę prieigą prie fotoaparato vaizdo sklaidos kanalo.
Norint pasinaudoti šiuo saugos trūkumu, reikia žinoti pradinį kameros ID, kuris yra atsitiktinė eilutė, kurią galima įrašyti tik prisijungus prie to paties vietinio tinklo kaip ir kamera. Tai labai apriboja saugos trūkumo apimtį, nes įsilaužėlis pirmiausia turės gauti prieigą prie jūsų namų tinklo, kad galėtų pasiekti vaizdo įrašą iš Wyze kameros.
Pagrindinė problema čia yra ne saugumo pažeidžiamumas, o tai, kaip Wyze tvarkomi pažeidžiamumą. „Bitdefender“ teigia, kad susisiekė su „Wyze“ du kartus, pirmą kartą 2019 m. kovo 6 d. ir dar kartą 2019 m. kovo 15 d., ir, matyt, negavo jokio atsakymo. Per kitus mėnesius „Wyze“ atnaujino kai kurias savo kameras iš dalies ištaisydama prisijungimo pažeidžiamumą, vis dar neatsakydama į „Bitdefender“. Tik 2020 m. lapkričio mėn. „Wyze“ pagaliau susisiekė su „Bitdefender“, o galutiniai pataisymai buvo įdiegti tik 2022 m. sausio mėn.
„Wyze“ ne tik neveikė greitai ir bendradarbiavo su „Bitdefender“, siekdama išspręsti saugumo problemas, bet ir niekada nepripažino savo klientų pažeidžiamumo. Wyze pasakojo The Verge kad bendrovė buvo skaidri savo klientams ir „visiškai išsprendė problemą“, tačiau originalus Wyze Cam niekada nebuvo pataisytas, o bendrovė, atrodo, niekada nepranešė klientams apie tai sutrikimas.
„Wyze“ nepaskelbė viešo pareiškimo apie savo saugumo spragas Twitter paskyra ar kitose socialinės žiniasklaidos paskyrose, kai buvo paskelbtas šis straipsnis.
Šaltinis:The Verge, Bitdefender