Kas jums jāzina
- Wyze drošības kameru līnija gadiem ilgi bija uzņēmīga pret uzlaušanu.
- Uzņēmums zināja par galveno drošības trūkumu, taču tas klientiem neziņoja.
- Wyze pārtrauca atbalstu tikai dažām ietekmētajām kamerām, jo aparatūras ierobežojumu dēļ tā nevarēja ieviest labojumu.
Ja pašlaik joprojām izmantojat Wyze Cam v1, iespējams, ieteicams nekavējoties pārtraukt drošības kameras lietošanu. Šķiet, ka liela ievainojamība ļāva iebrucējiem piekļūt jūsu saglabātajiem videoklipiem vai skatīties jūs tajā noslēpums, un Wyze neinformēja klientus trīs gadu laikā, kopš pirmo reizi uzzināja par drošību trūkums.
Bitdefender ir atklājis, ka 2019. gada martā atklājis ievainojamību Wyze's Cam drošības kameru līnijā un paziņojis par to uzņēmumam (izmantojot The Verge). Tomēr Wyze nespēja atbildēt līdz 2020. gada novembrim.
"Izpētot Wyze Cam ierīci, mēs identificējām vairākas ievainojamības, kas ļauj izkļūt ārpusē uzbrucējs piekļūst kameras plūsmai vai izpilda ļaunprātīgu kodu, lai vēl vairāk apdraudētu ierīci," Bitdefender teica.
Wyze teica a emuāra ieraksts ka defekta apjoms ir ierobežots, jo hakeram vispirms ir jāpiekļūst jūsu mājas Wi-Fi tīklam, lai viņi varētu skatīt kamerā saglabātos videoklipus.
"Vispirms mēs vēlamies informēt savus lietotājus, ka šīm ievainojamībām bija nepieciešama kāda veida piekļuve vietējam tīklam," paskaidroja Wyze. "Tātad, lai šīs ievainojamības varētu izmantot attālināti, jums būtu bijis jāpakļauj vietējais tīkls tieši sliktajam dalībniekam vai internetam kopumā."
Par laimi Wyze īpašniekiem labākās iekštelpu drošības kameras, ieskaitot Cam v2 un v3, bija ielāps izlaists janvāra beigās, saskaņā ar Pīkstošs dators. Bet tas arī nozīmē, ka uzņēmums lēni veica pasākumus, lai novērstu trūkumu. Pēdējos trīs gadus Wyze's Cam v1, v2 un v3 kameras ir bijušas uzņēmīgas pret hakeriem.
Tomēr Cam v1 tika atstāts auksts, un Wyze vienkārši pārtrauca tā atbalstu februārī jo konkrētais modelis "nevarēja atbalstīt nepieciešamos drošības atjauninājumus" tā ierobežotā apjoma dēļ atmiņa. Lai gan problēma ir novērsta jaunākiem modeļiem, Wyze nekad neinformēja klientus par drošības nepilnības būtību, atstājot tos tumsā.
"Gan Bitdefender, gan Wyze nopietni uztver skarto lietotāju drošību," savā emuārā sacīja Wyze. "Zinot, ka mēs aktīvi strādājam pie riska mazināšanas un korektīviem atjauninājumiem, mēs nonācām pie Kopā secinām, ka visdrošāk bija būt piesardzīgiem attiecībā uz detaļām, līdz tiek novērstas ievainojamības fiksēts."
Nav skaidrs, vai defekts tika izmantots, taču tas būtu devis iebrucējiem piekļuvi jūsu kameras SD kartes saturam.
The Verge arī izvirzīja jautājumus par Bitdefender novēloto izpaušanu. Tā sabiedrisko attiecību direktors Stīvs Fiore ziņu izlaidumam sacīja, ka "atklāšanu atklājumi pirms tam, kad pārdevējs nodrošinās ielāpus, būtu pakļāvuši riskam daudzus cilvēkus".
Tomēr drošības pētniekiem nav raksturīgi gaidīt trīs gadus, pirms atklāj ievainojamības.