Wyze fick reda på ett kamerasäkerhetsfel 2019 och berättade det inte för någon

Säkerhetsforskaren Bitdefender sa till Wyze 2019 att hackare kunde få åtkomst till Wyze Cams videoflöden på distans, men Wyze berättade det inte för någon.

Wyze har sålt billiga smarta säkerhetskameror sedan den ursprungliga Wyze Cam 2017, och har även förgrenat sig till andra produktkategorier (som hörlurar). Men företaget har också haft sin beskärda del av problem, och en annan viktig fråga har kommit fram - hackare kan få tillgång till videoflöden från Wyze Cams.

Bitdefender avslöjade offentligt en serie säkerhetsbrister i Wyzes säkerhetskameror på tisdagen, vilket påverkade Wyze Cam Pan v2 (före 4.49.1.47), Wyze Cam v2 (före 4.9.8.1002), Wyze Cam v3 (före 4.36.8.32) och den ursprungliga Wyze Cam på all firmware versioner. Den första sårbarheten, känd som CVE-2019-9564, tillät hackare att kringgå inloggningen för Wyze-enheter och få tillgång till kamerakontroller. Bitdefender upptäckte också en sårbarhet för stackbuffertspill (CVE-2019-12266), som när den används i kombination med det första säkerhetsfelet kan användas för att få fjärråtkomst till en kamerans videoflöde.

Att dra nytta av detta säkerhetsbrist kräver att man känner till det ursprungliga kamera-ID: t, vilket är en slumpmässig sträng som bara kan spelas in genom att ansluta till samma lokala nätverk som kameran. Det begränsar avsevärt omfattningen av säkerhetsbristen, eftersom en hackare först måste få tillgång till ditt hemnätverk innan han får tillgång till videoflödet från en Wyze-kamera.

Huvudproblemet här är faktiskt inte säkerhetssårbarheten, det är hur Wyze hanteras sårbarheten. Bitdefender säger att de kontaktade Wyze två gånger, först den 6 mars 2019 och igen den 15 mars 2019 och fick tydligen inget svar. Under de följande månaderna uppdaterade Wyze några av sina kameror med en partiell fix för inloggningssårbarheten, fortfarande utan att svara på Bitdefender. Det var inte förrän i november 2020 som Wyze äntligen kommunicerade med Bitdefender, och de slutliga korrigeringarna distribuerades inte förrän i januari 2022.

E-post skickat till Wyze-kunder den 6 januari 2022 (Källa: The Verge)

Inte nog med att Wyze inte agerade snabbt och arbetade med Bitdefender för att lösa säkerhetsproblemen, utan företaget erkände heller aldrig sårbarheten för sina kunder. Wyze berättade Gränsen att företaget har varit transparent med sina kunder och "helt rättat till problemet", men det original Wyze Cam fick aldrig en fix, och företaget tycks aldrig berätta för kunderna om detta specifika problem.

Wyze har inte släppt ett offentligt uttalande om säkerhetsbristerna på dess Twitter-konto eller andra konton i sociala medier, från och med när denna artikel publicerades.

Källa:Gränsen, Bitdefender