Badacz bezpieczeństwa Bitdefender powiedział firmie Wyze w 2019 r., że hakerzy mogą uzyskać zdalny dostęp do kanałów wideo Wyze Cam, ale Wyze nikomu o tym nie powiedział.
Wyze sprzedaje niedrogie inteligentne kamery bezpieczeństwa od czasu wypuszczenia oryginalnej kamery Wyze Cam w 2017 r., a także rozszerzyła swoją działalność na inne kategorie produktów (jak słuchawki). Jednak firma miała również sporo problemów i na światło dzienne wyszedł inny istotny problem — hakerzy mogli uzyskać dostęp do kanałów wideo z kamer Wyze Cams.
We wtorek Bitdefender ujawnił publicznie szereg luk w zabezpieczeniach kamer bezpieczeństwa Wyze, które miały wpływ na Wyze Cam Pan v2 (przed 4.49.1.47), Wyze Cam v2 (przed 4.9.8.1002), Wyze Cam v3 (przed 4.36.8.32) i oryginalna Wyze Cam na całym oprogramowaniu wersje. Pierwsza luka, tzw CVE-2019-9564, umożliwiło hakerom ominięcie logowania do urządzeń Wyze i uzyskanie dostępu do elementów sterujących kamerą. Bitdefender odkrył także lukę w zabezpieczeniach związaną z przepełnieniem bufora stosu (
CVE-2019-12266), które w połączeniu z pierwszą luką w zabezpieczeniach można wykorzystać do uzyskania zdalnego dostępu do obrazu z kamery.Skorzystanie z tej luki w zabezpieczeniach wymaga znajomości początkowego identyfikatora kamery, czyli losowego ciągu znaków, który można zarejestrować jedynie po podłączeniu do tej samej sieci lokalnej, co kamera. To znacznie ogranicza zakres luki w zabezpieczeniach, ponieważ haker musiałby najpierw uzyskać dostęp do sieci domowej, zanim uzyska dostęp do obrazu wideo z kamery Wyze.
Głównym problemem nie jest tak naprawdę luka w zabezpieczeniach, ale sposób działania Wyze obsługiwane podatność. Bitdefender twierdzi, że dwukrotnie kontaktował się z Wyze, najpierw 6 marca 2019 r., a następnie 15 marca 2019 r. i najwyraźniej nie otrzymał żadnej odpowiedzi. W ciągu następnych miesięcy Wyze zaktualizowało niektóre swoje kamery, częściowo naprawiając lukę w zabezpieczeniach logowania, nadal nie odpowiadając na Bitdefender. Dopiero w listopadzie 2020 r. Wyze w końcu połączył się z Bitdefenderem, a ostateczne poprawki zostały wdrożone dopiero w styczniu 2022 r.
Wyze nie tylko nie zadziałało szybko i nie współpracowało z Bitdefenderem w celu rozwiązania problemów związanych z bezpieczeństwem, ale także nigdy nie przyznało się swoim klientom do istnienia luki. Wyze powiedział Krawędź że firma zachowała przejrzystość wobec swoich klientów i „w pełni rozwiązała problem”, ale oryginalna kamera Wyze Cam nigdy nie została naprawiona, a firma najwyraźniej nigdy nie mówiła klientom o tym konkretnym przypadku wydanie.
Wyze nie wydało publicznego oświadczenia na temat luk w zabezpieczeniach swojego oprogramowania Konto Twitter lub innych kontach w mediach społecznościowych, według stanu na dzień publikacji tego artykułu.
Źródło:Krawędź, Bitdefender