Sikkerhetsforsker Bitdefender fortalte Wyze i 2019 at hackere kunne eksternt få tilgang til Wyze Cam-videofeeder, men Wyze fortalte det ikke til noen.
Wyze har solgt rimelige smarte sikkerhetskameraer siden den originale Wyze Cam i 2017, og har også forgrenet seg til andre produktkategorier (som øreplugger). Imidlertid har selskapet også hatt sin rettferdige del av problemer, og et annet viktig problem har kommet for dagen - hackere kan få tilgang til videofeedene fra Wyze Cams.
Bitdefender avslørte offentlig en serie sikkerhetssårbarheter i Wyzes sikkerhetskameraer på tirsdag, som påvirket Wyze Cam Pan v2 (før 4.49.1.47), Wyze Cam v2 (før 4.9.8.1002), Wyze Cam v3 (før 4.36.8.32), og den originale Wyze Cam på all fastvare versjoner. Den første sårbarheten, kjent som CVE-2019-9564, tillot hackere å omgå påloggingen for Wyze-enheter og få tilgang til kamerakontroller. Bitdefender oppdaget også et stabelbufferoverløpssårbarhet (CVE-2019-12266), som når den brukes i kombinasjon med den første sikkerhetsfeilen, kan brukes til å få ekstern tilgang til et kameras videofeed.
Å dra nytte av denne sikkerhetsfeilen krever at du kjenner den første kamera-ID-en, som er en tilfeldig streng som bare kan tas opp ved å koble til det samme lokale nettverket som kameraet. Det begrenser omfanget av sikkerhetsfeilen betydelig, siden en hacker først må få tilgang til hjemmenettverket ditt før han får tilgang til videofeeden fra et Wyze-kamera.
Hovedproblemet her er faktisk ikke sikkerhetssårbarheten, det er hvordan Wyze håndtert sårbarheten. Bitdefender sier at de kontaktet Wyze to ganger, først 6. mars 2019, og igjen 15. mars 2019, og tilsynelatende ikke mottok noe svar. I løpet av de påfølgende månedene oppdaterte Wyze noen av kameraene sine med en delvis løsning for påloggingssårbarheten, fortsatt uten å svare på Bitdefender. Det var ikke før i november 2020 at Wyze endelig kommuniserte med Bitdefender, og de endelige rettelsene ble ikke distribuert før i januar 2022.
Ikke bare handlet ikke Wyze raskt og samarbeidet med Bitdefender for å løse sikkerhetsproblemene, men selskapet har heller aldri erkjent sårbarheten til kundene sine. Wyze fortalte The Verge at selskapet har vært transparent med kundene sine og "fullstendig korrigert problemet," men originale Wyze Cam fikk aldri en løsning, og selskapet fortalte tilsynelatende aldri kundene om dette utgave.
Wyze har ikke gitt ut en offentlig uttalelse om sikkerhetssvakhetene på den Twitter-konto eller andre sosiale medier-kontoer, fra da denne artikkelen ble publisert.
Kilde:The Verge, Bitdefender