Wyze uzzināja par kameras drošības trūkumu 2019. gadā un nevienam neteica

Drošības pētnieks Bitdefender 2019. gadā pastāstīja Wyze, ka hakeri var attālināti piekļūt Wyze Cam video plūsmām, taču Wyze nevienam neteica.

Wyze ir pārdevis lētas viedās drošības kameras kopš sākotnējās Wyze Cam 2017. gadā, kā arī ir sazarojies citās produktu kategorijās (kā austiņas). Tomēr uzņēmumam ir bijusi arī sava daļa problēmu, un ir atklājusies vēl viena būtiska problēma - hakeri varētu piekļūt video plūsmām no Wyze Cams.

Bitdefender otrdien publiski atklāja virkni drošības ievainojamību Wyze drošības kamerās, kas ietekmēja Wyze Cam Pan v2. (pirms 4.49.1.47), Wyze Cam v2 (pirms 4.9.8.1002), Wyze Cam v3 (pirms 4.36.8.32) un oriģinālā Wyze Cam visā programmaparatūrā versijas. Pirmā ievainojamība, kas pazīstama kā CVE-2019-9564, ļāva hakeriem apiet Wyze ierīču pieteikšanos un piekļūt kameras vadīklām. Bitdefender atklāja arī steka bufera pārpildes ievainojamību (CVE-2019-12266), ko, izmantojot kopā ar pirmo drošības trūkumu, var izmantot, lai iegūtu attālinātu piekļuvi kameras video plūsmai.

Lai izmantotu šo drošības trūkumu, ir jāzina sākotnējais kameras ID, kas ir nejauša virkne, kuru var ierakstīt, tikai pievienojoties tam pašam lokālajam tīklam, kurā ir kamera. Tas ievērojami ierobežo drošības nepilnības apjomu, jo hakeram vispirms ir jāpiekļūst jūsu mājas tīklam, pirms viņš varētu piekļūt video plūsmai no Wyze kameras.

Galvenā problēma šeit nav drošības ievainojamība, bet gan tas, kā Wyze apstrādāts ievainojamību. Bitdefender saka, ka tas divreiz sazinājās ar Wyze, vispirms 2019. gada 6. martā un vēlreiz 2019. gada 15. martā, un acīmredzot nesaņēma nekādu atbildi. Nākamo mēnešu laikā Wyze atjaunināja dažas savas kameras ar daļēju pieteikšanās ievainojamības labojumu, joprojām nereaģējot uz Bitdefender. Tikai 2020. gada novembrī Wyze beidzot sazinājās ar Bitdefender, un galīgie labojumi tika izvietoti tikai 2022. gada janvārī.

E-pasts nosūtīts Wyze klientiem 2022. gada 6. janvārī (avots: The Verge)

Wyze ne tikai nerīkojās ātri un sadarbojās ar Bitdefender, lai risinātu drošības problēmas, bet arī uzņēmums nekad neatzina savu klientu ievainojamību. Wyze stāstīja The Verge ka uzņēmums ir bijis caurspīdīgs pret saviem klientiem un "pilnībā novērsis problēmu", bet oriģinālā Wyze Cam nekad nesaņēma labojumus, un šķiet, ka uzņēmums nekad nestāstīja klientiem par šo konkrēto izdevums.

Wyze nav izplatījis publisku paziņojumu par tā drošības ievainojamībām Twitter konts vai citos sociālo mediju kontos šī raksta publicēšanas brīdī.

Avots:The Verge, Bitdefender