Varnostni raziskovalec Bitdefender je Wyzeju leta 2019 povedal, da lahko hekerji na daljavo dostopajo do video virov Wyze Cam, vendar Wyze ni nikomur povedal.
Wyze prodaja poceni pametne varnostne kamere od prvotne Wyze Cam leta 2017 in se je razširil tudi na druge kategorije izdelkov (kot ušesne slušalke). Vendar pa je imelo podjetje tudi precejšen delež težav in na dan je prišlo še eno pomembno vprašanje - hekerji bi lahko dobili dostop do video virov iz Wyze Cams.
Bitdefender je v torek javno razkril vrsto varnostnih ranljivosti v varnostnih kamerah Wyze, ki so vplivale na Wyze Cam Pan v2 (pred 4.49.1.47), Wyze Cam v2 (pred 4.9.8.1002), Wyze Cam v3 (pred 4.36.8.32) in originalni Wyze Cam v vsej vdelani programski opremi različice. Prva ranljivost, znana kot CVE-2019-9564, je hekerjem omogočil, da zaobidejo prijavo za naprave Wyze in pridobijo dostop do nadzora kamere. Bitdefender je odkril tudi ranljivost prelivanja medpomnilnika sklada (CVE-2019-12266), ki se lahko uporabi v kombinaciji s prvo varnostno napako za pridobitev oddaljenega dostopa do video vira kamere.
Če želite izkoristiti to varnostno napako, morate poznati začetni ID kamere, ki je naključen niz, ki ga je mogoče posneti samo tako, da se pridružite istemu lokalnemu omrežju kot kamera. To znatno omejuje obseg varnostne napake, saj bi moral heker najprej pridobiti dostop do vašega domačega omrežja, preden dostopa do video vira iz kamere Wyze.
Glavna težava pri tem pravzaprav ni varnostna ranljivost, temveč Wyze obdelan ranljivost. Bitdefender pravi, da je dvakrat kontaktiral Wyze, prvič 6. marca 2019 in ponovno 15. marca 2019, in očitno ni prejel nobenega odgovora. V naslednjih mesecih je Wyze posodobil nekatere svoje kamere z delnim popravkom ranljivosti pri prijavi, še vedno pa se ni odzval Bitdefenderju. Šele novembra 2020 je Wyze končno komuniciral z Bitdefenderjem, končni popravki pa so bili uvedeni šele januarja 2022.
Ne samo, da Wyze ni ukrepal hitro in sodeloval z Bitdefenderjem pri reševanju varnostnih težav, ampak podjetje svojim strankam tudi nikoli ni priznalo ranljivosti. Wyze je povedal The Verge da je bilo podjetje transparentno s svojimi strankami in je "v celoti odpravilo težavo", vendar je originalna kamera Wyze Cam nikoli ni prejela popravka in podjetje očitno nikoli ni povedalo strankam o tem težava.
Wyze ni izdal javne izjave o varnostnih ranljivostih na svojem Twitter račun ali drugih računih družbenih medijev od objave tega članka.
Vir:The Verge, Bitdefender