Исследователь безопасности Bitdefender сообщил Wyze в 2019 году, что хакеры могут удаленно получить доступ к видеопотокам Wyze Cam, но Wyze никому не сказал.
Wyze продает недорогие интеллектуальные камеры видеонаблюдения с момента выпуска оригинальной Wyze Cam в 2017 году, а также освоила другие категории продуктов (как наушники). Однако у компании также были свои проблемы, и выявилась еще одна важная проблема — хакеры могли получить доступ к видеопотокам с камер Wyze.
Во вторник Bitdefender публично выявил ряд уязвимостей в камерах видеонаблюдения Wyze, которые затронули Wyze Cam Pan v2. (до 4.49.1.47), Wyze Cam v2 (до 4.9.8.1002), Wyze Cam v3 (до 4.36.8.32) и оригинальная Wyze Cam на всех прошивках версии. Первая уязвимость, известная как CVE-2019-9564, позволило хакерам обойти вход в систему для устройств Wyze и получить доступ к элементам управления камерой. Bitdefender также обнаружил уязвимость переполнения буфера стека (CVE-2019-12266), который при использовании в сочетании с первым недостатком безопасности можно использовать для получения удаленного доступа к видеопотоку с камеры.
Чтобы воспользоваться этим недостатком безопасности, необходимо знать первоначальный идентификатор камеры, который представляет собой случайную строку, которую можно записать только при подключении к той же локальной сети, что и камера. Это существенно ограничивает масштабы уязвимости, поскольку хакеру сначала придется получить доступ к вашей домашней сети, прежде чем получить доступ к видеопотоку с камеры Wyze.
Основная проблема здесь не в уязвимости безопасности, а в том, как Wyze обработанный уязвимость. Bitdefender сообщает, что дважды связывался с Wyze: сначала 6 марта 2019 г., а затем 15 марта 2019 г., но, по всей видимости, не получил ответа. В течение следующих месяцев Wyze обновила некоторые из своих камер, частично исправив уязвимость входа в систему, по-прежнему не отвечая Bitdefender. Лишь в ноябре 2020 года Wyze наконец связался с Bitdefender, а окончательные исправления были развернуты только в январе 2022 года.
Wyze не только не действовал быстро и не работал с Bitdefender над решением проблем безопасности, но компания также никогда не признавала уязвимость своим клиентам. Вайз рассказал Грань что компания была прозрачна со своими клиентами и «полностью исправила проблему», но оригинальная камера Wyze Cam так и не была исправлена, и компания, по-видимому, никогда не рассказывала клиентам об этом конкретном случае. проблема.
Wyze не опубликовал публичного заявления об уязвимостях безопасности на своем сайте. Твиттер-аккаунт или другие аккаунты в социальных сетях на момент публикации этой статьи.
Источник:Грань, Битдефендер