Cercetătorul de securitate Bitdefender a declarat pentru Wyze în 2019 că hackerii pot accesa de la distanță fluxurile video Wyze Cam, dar Wyze nu a spus nimănui.
Wyze vinde camere de securitate inteligente ieftine de la Wyze Cam inițial în 2017 și s-a ramificat și în alte categorii de produse (precum căștile). Cu toate acestea, compania a avut și o parte echitabilă de probleme și a ieșit la iveală o altă problemă semnificativă - hackerii ar putea obține acces la fluxurile video de la Wyze Cams.
Bitdefender a dezvăluit public o serie de vulnerabilități de securitate în camerele de securitate Wyze, marți, care au afectat Wyze Cam Pan v2 (înainte de 4.49.1.47), Wyze Cam v2 (înainte de 4.9.8.1002), Wyze Cam v3 (înainte de 4.36.8.32) și Wyze Cam original pe toate firmware-urile versiuni. Prima vulnerabilitate, cunoscută ca CVE-2019-9564, a permis hackerilor să ocolească datele de conectare pentru dispozitivele Wyze și să obțină acces la comenzile camerei. Bitdefender a descoperit, de asemenea, o vulnerabilitate de depășire a tamponului de stivă (
CVE-2019-12266), care atunci când este utilizat în combinație cu primul defect de securitate, poate fi folosit pentru a obține acces de la distanță la fluxul video al camerei.Pentru a profita de acest defect de securitate, este nevoie să cunoașteți ID-ul inițial al camerei, care este un șir aleatoriu care poate fi înregistrat doar prin conectarea aceleiași rețele locale ca și camera. Acest lucru limitează în mod semnificativ domeniul de aplicare al defectului de securitate, deoarece un hacker ar trebui mai întâi să obțină acces la rețeaua dvs. de acasă înainte de a accesa fluxul video de la o cameră Wyze.
Problema principală aici nu este de fapt vulnerabilitatea de securitate, ci modul în care Wyze manipulate vulnerabilitatea. Bitdefender spune că a contactat Wyze de două ori, mai întâi pe 6 martie 2019 și din nou pe 15 martie 2019 și se pare că nu a primit niciun răspuns. În lunile următoare, Wyze și-a actualizat unele dintre camerele sale cu o remediere parțială a vulnerabilității de conectare, fără a răspunde încă la Bitdefender. Abia în noiembrie 2020, Wyze a comunicat în sfârșit cu Bitdefender, iar remediile finale nu au fost implementate decât în ianuarie 2022.
Nu numai că Wyze nu a acționat rapid și a colaborat cu Bitdefender pentru a rezolva problemele de securitate, dar compania nu a recunoscut niciodată vulnerabilitatea clienților săi. a spus Wyze The Verge că compania a fost transparentă cu clienții săi și „a corectat pe deplin problema”, dar Wyze Cam inițial nu a primit niciodată o remediere, iar compania aparent nu le-a spus clienților acest lucru specific emisiune.
Wyze nu a lansat o declarație publică despre vulnerabilitățile de securitate ale acestuia cont de Twitter sau alte conturi de rețele sociale, de la data publicării acestui articol.
Sursă:The Verge, Bitdefender