Wyze дізнався про недолік безпеки камери в 2019 році та нікому не сказав

Дослідник безпеки Bitdefender повідомив Wyze у 2019 році, що хакери можуть отримати віддалений доступ до відеоканалів Wyze Cam, але Wyze нікому не сказав.

Wyze продає недорогі інтелектуальні камери безпеки з першої Wyze Cam у 2017 році, а також розгалужується на інші категорії продуктів (як навушники). Однак у компанії також була достатня частка проблем, і виявилося ще одне важливе питання — хакери могли отримати доступ до відеоканалів з Wyze Cams.

У вівторок Bitdefender публічно оприлюднив серію вразливостей безпеки в камерах безпеки Wyze, які вплинули на Wyze Cam Pan v2 (до 4.49.1.47), Wyze Cam v2 (до 4.9.8.1002), Wyze Cam v3 (до 4.36.8.32) і оригінальна Wyze Cam у всіх прошивках версії. Перша вразливість, відома як CVE-2019-9564, дозволив хакерам обійти вхід для пристроїв Wyze та отримати доступ до елементів керування камерою. Bitdefender також виявив уразливість переповнення буфера стека (CVE-2019-12266), який у поєднанні з першим недоліком безпеки можна використовувати для отримання віддаленого доступу до відеоканалу камери.

Щоб скористатися перевагами цього недоліку безпеки, потрібно знати початковий ідентифікатор камери, який є випадковим рядком, який можна записати, лише підключившись до тієї ж локальної мережі, що й камера. Це суттєво обмежує масштаб недоліку безпеки, оскільки хакеру спочатку доведеться отримати доступ до вашої домашньої мережі, перш ніж отримати доступ до відеоканалу з камери Wyze.

Основною проблемою тут є не вразливість безпеки, а те, як Wyze обробляється вразливість. Bitdefender каже, що двічі звертався до Wyze, спочатку 6 березня 2019 року та знову 15 березня 2019 року, і, очевидно, не отримав відповіді. Протягом наступних місяців Wyze оновив деякі зі своїх камер, частково виправивши вразливість входу, але все ще не відповідав Bitdefender. Лише в листопаді 2020 року Wyze нарешті зв’язався з Bitdefender, і остаточні виправлення не було розгорнуто до січня 2022 року.

Електронний лист, надісланий клієнтам Wyze 6 січня 2022 року (Джерело: The Verge)

Wyze не тільки не діяла швидко та не співпрацювала з Bitdefender для вирішення проблем безпеки, але й компанія ніколи не визнавала вразливість для своїх клієнтів. Вайз сказав The Verge що компанія була прозорою зі своїми клієнтами та «повністю виправила проблему», але оригінальна камера Wyze Cam ніколи не була виправлена, і компанія, схоже, ніколи не повідомляла клієнтам про це проблема.

Wyze не оприлюднив публічної заяви про вразливість системи безпеки обліковий запис Twitter або інших акаунтів у соціальних мережах на момент публікації цієї статті.

Джерело:The Verge, Bitdefender