Медийни издания съобщават, че Wyze е знаел от три години за пропуск в сигурността, който прави камерите за сигурност уязвими за хакери. Но през цялото това време тя не каза на клиентите си за проблема.
Новината за дефекта се появи във вторник. Wyze, отдавна знам за него евтини, но полезни охранителни камери, оттогава отговори на противоречието, както е отбелязано по-долу.
Wyze знаеше за уязвимостта на камерите към хакери от 3 години
Във вторник фирмата за киберсигурност Bitdefender публикува a блог пост и Бяла хартия детайлизиране на проблема със сигурността. Недостатъкът би позволил на хакер да получи неудостоверен отдалечен достъп до съдържанието на SD картата на камерата Wyze V1. Така натрапник може да види и потенциално да изтегли видеото, съхранено там.
Още по-лошо, документът на Bitdefender показва, че Wyze е научил за уязвимостта на своята V1 камера още през март 2019 г. Bitdefender разкри и две други неразкрити уязвимости на камерата на Wyze, които бяха коригирани през септември 2019 г. и ноември 2020 г.
Отговорът на Wyze
В отговор на наскоро пуснатата, но дългогодишна уязвимост, Wyze публикува публикация в блог. Отчасти се казва, че хакерите, за да се възползват от грешката в сигурността, ще трябва да компрометират локалната мрежа на потребителя или да получат достъп чрез отворен интернет. Както каза компанията:
Първо бихме искали да уведомим нашите потребители, че тези уязвимости изискват някаква форма на достъп до локална мрежа. Така че би трябвало да изложите локалната си мрежа директно на лошия актьор или на Интернет като цяло тези уязвимости да бъдат експлоатирани от разстояние (бъдете сигурни, че не трябва и вероятно нямате настройка като това).
Това предполага сравнително малка вероятност хакер да получи достъп до камера на Wyze. И ако сте актуализирали фърмуера на вашите камери V2 или V3, уязвимостта вече е отстранена, считано от актуализация на 29 януари. Но камерите V1, които Wyze спря да поддържа през февруари, остават изложени на риск. Wyze се позова на това:
За съжаление, въпреки обширните усилия, които се простират до 2022 г., открихме, че Wyze Cam v1 (последно продаден през март 2018 г.) не може да поддържа необходимите актуализации на сигурността. Ограничената памет на камерата, която ни подтикна да създадем Wyze Cam v2, директно попречи на коригирането на тези проблеми на този продукт.
Но без разкриване за 3 години?
Но остава фактът, че компанията не успя да разкрие уязвимостите на клиентите в продължение на три години. Не е необичайно компаниите да се колебаят, преди да разкрият недостатък в продължение на седмици. Това са седмици, не години. И Wyze също коментира това:
Може би се чудите: „Защо чувам за това сега?“ И Bitdefender, и Wyze приемат сериозно безопасността на засегнатите потребители. Знаейки, че работим активно по смекчаване на риска и коригиращи актуализации, стигнахме до заключение заедно, че е най-безопасно да бъдем предпазливи по отношение на детайлите, докато уязвимостите не бъдат открити фиксирани.
Предвид честата домашна употреба на охранителни камери като тези, които Wyze прави, последствията от грешката в сигурността и неуспеха да се разкрият изглеждат сериозни - както за поверителността, така и за личната сигурност. Ако сте клиент, бихте ли се доверили на Wyze занапред? Уведомете ни в коментарите по-долу.