O pesquisador de segurança Bitdefender disse à Wyze em 2019 que os hackers poderiam acessar remotamente os feeds de vídeo da Wyze Cam, mas Wyze não contou a ninguém.
A Wyze vende câmeras de segurança inteligentes baratas desde a Wyze Cam original em 2017 e também se ramificou em outras categorias de produtos (como fones de ouvido). No entanto, a empresa também teve seu quinhão de problemas, e outro problema significativo veio à tona – os hackers poderiam obter acesso aos feeds de vídeo das Wyze Cams.
O Bitdefender revelou publicamente uma série de vulnerabilidades de segurança nas câmeras de segurança da Wyze na terça-feira, que afetaram o Wyze Cam Pan v2 (anterior a 4.49.1.47), Wyze Cam v2 (anterior a 4.9.8.1002), Wyze Cam v3 (anterior a 4.36.8.32) e a Wyze Cam original em todos os firmware versões. A primeira vulnerabilidade, conhecida como CVE-2019-9564, permitiu que hackers ignorassem o login dos dispositivos Wyze e obtivessem acesso aos controles da câmera. O Bitdefender também descobriu uma vulnerabilidade de estouro de buffer de pilha (
Tirar vantagem dessa falha de segurança requer conhecer o ID inicial da câmera, que é uma sequência aleatória que só pode ser gravada ingressando na mesma rede local da câmera. Isso limita significativamente o escopo da falha de segurança, já que um hacker teria primeiro que obter acesso à sua rede doméstica antes de acessar o feed de vídeo de uma câmera Wyze.
O principal problema aqui não é realmente a vulnerabilidade de segurança, é como Wyze manipulado a vulnerabilidade. A Bitdefender diz que contatou a Wyze duas vezes, primeiro em 6 de março de 2019 e novamente em 15 de março de 2019, e aparentemente não recebeu resposta. Nos meses seguintes, a Wyze atualizou algumas de suas câmeras com uma correção parcial para a vulnerabilidade de login, ainda sem responder ao Bitdefender. Somente em novembro de 2020 a Wyze finalmente se comunicou com o Bitdefender, e as correções finais não foram implantadas até janeiro de 2022.
A Wyze não apenas não agiu rapidamente e não trabalhou com o Bitdefender para resolver os problemas de segurança, mas a empresa também nunca reconheceu a vulnerabilidade aos seus clientes. Wyze disse A beira que a empresa foi transparente com seus clientes e "corrigiu totalmente o problema", mas o Wyze Cam original nunca recebeu uma correção, e a empresa aparentemente nunca contou aos clientes sobre isso específico emitir.
Wyze não divulgou uma declaração pública sobre as vulnerabilidades de segurança em seu Conta do Twitter ou outras contas de mídia social, a partir da data de publicação deste artigo.
Fonte:A beira, Bitdefender