Bezpečnostný výskumník Bitdefender povedal Wyze v roku 2019, že hackeri môžu na diaľku pristupovať k video kanálom Wyze Cam, ale Wyze to nikomu nepovedal.
Spoločnosť Wyze predáva lacné inteligentné bezpečnostné kamery od pôvodnej kamery Wyze Cam v roku 2017 a rozšírila sa aj do iných kategórií produktov (ako slúchadlá do uší). Spoločnosť však mala aj svoj spravodlivý podiel na problémoch a objavil sa ďalší významný problém – hackeri by mohli získať prístup k video kanálom z Wyze Cams.
Bitdefender v utorok verejne odhalil sériu bezpečnostných nedostatkov v bezpečnostných kamerách Wyze, ktoré ovplyvnili Wyze Cam Pan v2. (pred 4.49.1.47), Wyze Cam v2 (pred 4.9.8.1002), Wyze Cam v3 (pred 4.36.8.32) a pôvodný Wyze Cam vo všetkých firmvéroch verzií. Prvá zraniteľnosť, známa ako CVE-2019-9564, umožnilo hackerom obísť prihlásenie pre zariadenia Wyze a získať prístup k ovládacím prvkom fotoaparátu. Bitdefender tiež objavil zraniteľnosť pretečenia vyrovnávacej pamäte zásobníka (CVE-2019-12266), ktorý pri použití v kombinácii s prvou bezpečnostnou chybou možno použiť na získanie vzdialeného prístupu k video zdroju kamery.
Využitie tejto bezpečnostnej chyby vyžaduje poznať počiatočné ID kamery, čo je náhodný reťazec, ktorý je možné zaznamenať iba pripojením k rovnakej lokálnej sieti ako kamera. To výrazne obmedzuje rozsah bezpečnostnej chyby, pretože hacker by musel najskôr získať prístup k vašej domácej sieti, než by mohol pristupovať k videu z kamery Wyze.
Hlavným problémom tu v skutočnosti nie je bezpečnostná zraniteľnosť, ale spôsob, akým Wyze spracované zraniteľnosť. Bitdefender hovorí, že kontaktoval Wyze dvakrát, najskôr 6. marca 2019 a znova 15. marca 2019, a zjavne nedostal žiadnu odpoveď. Počas nasledujúcich mesiacov spoločnosť Wyze aktualizovala niektoré zo svojich kamier čiastočnou opravou zraniteľnosti pri prihlasovaní, pričom stále nereagovala na Bitdefender. Až v novembri 2020 Wyze konečne komunikoval s Bitdefenderom a konečné opravy boli nasadené až v januári 2022.
Wyze nielenže nekonal rýchlo a nespolupracoval s Bitdefenderom na riešení bezpečnostných problémov, ale spoločnosť tiež nikdy nepriznala zraniteľnosť svojich zákazníkov. povedal Wyze The Verge že spoločnosť bola voči svojim zákazníkom transparentná a „úplne napravila problém“, ale pôvodná kamera Wyze Cam nikdy nebola opravená a spoločnosť o tom zákazníkom zrejme nikdy nepovedala problém.
Spoločnosť Wyze nezverejnila verejné vyhlásenie o svojich bezpečnostných slabinách Twitter účet alebo na iných účtoch sociálnych médií v čase, keď bol tento článok publikovaný.
Zdroj:The Verge, Bitdefender