Wyze พบข้อบกพร่องด้านความปลอดภัยของกล้องในปี 2019 และไม่ได้บอกใครเลย

สรุปข่าว XdaOct 09, 2023
click fraud protection

นักวิจัยด้านความปลอดภัย Bitdefender บอกกับ Wyze ในปี 2019 ว่าแฮกเกอร์สามารถเข้าถึงฟีดวิดีโอ Wyze Cam จากระยะไกลได้ แต่ Wyze ไม่ได้บอกใครเลย

Wyze จำหน่ายกล้องรักษาความปลอดภัยอัจฉริยะราคาไม่แพงนับตั้งแต่ Wyze Cam รุ่นดั้งเดิมในปี 2560 และยังแยกออกเป็นประเภทผลิตภัณฑ์อื่นๆ (เหมือนหูฟังเอียร์บัด). อย่างไรก็ตาม บริษัทก็มีปัญหาพอสมควร และปัญหาสำคัญอีกประการหนึ่งก็ได้ถูกเปิดเผย — แฮกเกอร์สามารถเข้าถึงฟีดวิดีโอจาก Wyze Cams

Bitdefender เปิดเผยต่อสาธารณะเกี่ยวกับชุดช่องโหว่ด้านความปลอดภัยในกล้องรักษาความปลอดภัยของ Wyze เมื่อวันอังคาร ซึ่งส่งผลกระทบต่อ Wyze Cam Pan v2 (ก่อน 4.49.1.47), Wyze Cam v2 (ก่อน 4.9.8.1002), Wyze Cam v3 (ก่อน 4.36.8.32) และ Wyze Cam ดั้งเดิมในเฟิร์มแวร์ทั้งหมด รุ่นต่างๆ ช่องโหว่แรกที่เรียกว่า CVE-2019-9564อนุญาตให้แฮกเกอร์เลี่ยงการเข้าสู่ระบบสำหรับอุปกรณ์ Wyze และเข้าถึงการควบคุมกล้องได้ Bitdefender ยังค้นพบช่องโหว่สแต็กบัฟเฟอร์ล้น (CVE-2019-12266) ซึ่งเมื่อใช้ร่วมกับข้อบกพร่องด้านความปลอดภัยประการแรก จะสามารถใช้เพื่อเข้าถึงฟีดวิดีโอของกล้องจากระยะไกลได้

การใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยนี้จำเป็นต้องทราบ ID กล้องเริ่มต้น ซึ่งเป็นสตริงแบบสุ่มที่สามารถบันทึกได้โดยการเข้าร่วมเครือข่ายท้องถิ่นเดียวกันกับกล้องเท่านั้น นี่เป็นการจำกัดขอบเขตของข้อบกพร่องด้านความปลอดภัยอย่างมาก เนื่องจากแฮกเกอร์จะต้องเข้าถึงเครือข่ายในบ้านของคุณก่อนจึงจะเข้าถึงฟีดวิดีโอจากกล้อง Wyze ได้

ปัญหาหลักที่นี่ไม่ใช่ช่องโหว่ด้านความปลอดภัย แต่เป็นเรื่องของ Wyze จัดการ ช่องโหว่ Bitdefender กล่าวว่าได้ติดต่อกับ Wyze สองครั้ง ครั้งแรกเมื่อวันที่ 6 มีนาคม 2019 และอีกครั้งในวันที่ 15 มีนาคม 2019 และดูเหมือนว่าจะไม่ได้รับการตอบกลับ ในช่วงหลายเดือนต่อมา Wyze ได้อัปเดตกล้องบางตัวด้วยการแก้ไขช่องโหว่ในการเข้าสู่ระบบบางส่วน แต่ยังคงไม่ตอบสนองต่อ Bitdefender จนกระทั่งถึงเดือนพฤศจิกายน 2020 ในที่สุด Wyze ก็สื่อสารกับ Bitdefender และการแก้ไขขั้นสุดท้ายไม่ได้ถูกปรับใช้จนถึงเดือนมกราคม 2022

อีเมลส่งถึงลูกค้า Wyze เมื่อวันที่ 6 มกราคม 2022 (ที่มา: The Verge)

Wyze ไม่เพียงไม่ดำเนินการอย่างรวดเร็วและทำงานร่วมกับ Bitdefender เพื่อแก้ไขปัญหาด้านความปลอดภัย แต่บริษัทก็ไม่เคยรับรู้ถึงช่องโหว่ของลูกค้าเลย ไวซ์บอก. หมิ่น ว่าบริษัทมีความโปร่งใสกับลูกค้าและ "แก้ไขปัญหาได้ครบถ้วน" แต่การ Wyze Cam ดั้งเดิมไม่เคยได้รับการแก้ไข และดูเหมือนว่าบริษัทไม่เคยแจ้งให้ลูกค้าทราบเกี่ยวกับเรื่องนี้โดยเฉพาะ ปัญหา.

Wyze ยังไม่ได้ออกแถลงการณ์ต่อสาธารณะเกี่ยวกับช่องโหว่ด้านความปลอดภัย บัญชีทวิตเตอร์ หรือบัญชีโซเชียลมีเดียอื่นๆ ณ วันที่บทความนี้เผยแพร่

แหล่งที่มา:หมิ่น, Bitdefender