Hvad du behøver at vide
- Wyzes sikkerhedskameralinje var modtagelig for hacking i årevis.
- Virksomheden vidste om den store sikkerhedsbrist, men det fortalte ikke kunderne det.
- Wyze afsluttede kun supporten for nogle af de berørte kameraer, da det ikke kunne udrulle en rettelse på grund af hardwarebegrænsninger.
Hvis du stadig bruger et Wyze Cam v1 lige nu, er det nok en god idé at stoppe med at bruge sikkerhedskameraet med det samme. Det ser ud til, at en stor sårbarhed tillod ubudne gæster at få adgang til dine lagrede videoer eller se dig ind hemmeligt, og Wyze informerede ikke kunderne i de tre år, der er gået, siden de først fik kendskab til sikkerheden fejl.
Bitdefender har afsløret, at det opdagede en sårbarhed i Wyzes Cam-sikkerhedskameralinje i marts 2019 og underrettede virksomheden om det (via Randen). Wyze svarede dog ikke før november 2020.
"Mens vi kiggede ind i Wyze Cam-enheden, identificerede vi adskillige sårbarheder, der gjorde det muligt for en udefrakommende hackeren får adgang til kamerafeedet eller udfører ondsindet kode for yderligere at kompromittere enheden," Bitdefender sagde.
Wyze sagde i en blogindlæg at omfanget af fejlen er begrænset, da en hacker først skal have adgang til dit hjems Wi-Fi, før de kan se kameraets lagrede videoer.
"Vi vil først gerne fortælle vores brugere, at disse sårbarheder krævede en form for lokal netværksadgang," forklarede Wyze. "Så du ville have været nødt til at udsætte dit lokale netværk for enten den dårlige aktør direkte eller internettet som helhed for at disse sårbarheder kunne udnyttes eksternt."
Heldigvis for ejere af Wyze's bedste indendørs sikkerhedskameraer, inklusive Cam v2 og v3, var en patch udgivet i slutningen af januar, som pr Blødende computer. Men det betyder også, at virksomheden var langsom med at tage skridt til at rette fejlen. I de sidste tre år har Wyzes Cam v1, v2 og v3-kameraer været modtagelige for hackere.
Cam v1 blev dog udeladt i kulden, hvor Wyze simpelthen stoppede supporten til den i februar da den pågældende model "ikke kunne understøtte de nødvendige sikkerhedsopdateringer" på grund af dens begrænsede hukommelse. Mens problemet er blevet rettet for nyere modeller, informerede Wyze aldrig kunder om arten af sikkerhedsfejlen og holdt dem i mørke.
"Bitdefender og Wyze tager begge de berørte brugeres sikkerhed alvorligt," sagde Wyze i sin blog. "Ved at vide, at vi aktivt arbejdede på risikobegrænsning og korrigerende opdateringer, kom vi til konkluderede sammen, at det var sikrest at være forsigtig med detaljerne, indtil sårbarhederne var fast."
Det er uklart, om fejlen blev udnyttet, men det ville have givet ubudne gæster adgang til indholdet af dit kameras SD-kort.
The Verge rejste også spørgsmål om Bitdefenders sene afsløring. Dets PR-direktør, Steve Fiore, fortalte nyhedsmediet, at "at afsløre resultaterne, før leverandøren leverede patches, ville have sat mange mennesker i fare."
Det er dog ikke typisk for sikkerhedsforskere at vente tre år, før de afslører sårbarheder.