Mida peate teadma
- Wyze turvakaamerate sari oli aastaid häkkimisele vastuvõtlik.
- Ettevõte teadis suurest turvaveast, kuid ei rääkinud sellest klientidele.
- Wyze lõpetas toe ainult mõnele mõjutatud kaamerale, kuna riistvarapiirangute tõttu ei saanud see parandust välja pakkuda.
Kui kasutate praegu endiselt Wyze Cam v1, on ilmselt hea mõte turvakaamera kasutamine kohe lõpetada. Näib, et suur haavatavus võimaldas sissetungijatele juurdepääsu teie salvestatud videotele või teid vaadata salajane ja Wyze ei teavitanud kliente kolme aasta jooksul pärast seda, kui ta esimest korda turvalisusest teada sai viga.
Bitdefender on paljastanud, et avastas 2019. aasta märtsis Wyze'i Cam turvakaamerate reas haavatavuse ja teavitas sellest ettevõtet (läbi The Verge). Wyze ei vastanud aga kuni 2020. aasta novembrini.
"Wyze Cami seadet uurides tuvastasime mitu turvaauku, mis lasevad väljapoole ründaja pääseb juurde kaamera kanalile või käivitab pahatahtlikku koodi, et seadet veelgi kahjustada," Bitdefender ütles.
Wyze ütles a
ajaveebi postitus et vea ulatus on piiratud, kuna häkker peab enne kaamerasse salvestatud videote vaatamist saama juurdepääsu teie kodusele WiFi-le."Kõigepealt tahaksime oma kasutajatele teada anda, et need haavatavused nõuavad mingil kujul juurdepääsu kohalikule võrgule," selgitas Wyze. "Niisiis oleksite pidanud oma kohalikku võrku paljastama kas otse halvale tegutsejale või Internetile üldiselt, et neid turvaauke saaks eemalt ära kasutada."
Õnneks Wyze omanikele parimad siseturvakaamerad, sealhulgas Cam v2 ja v3, oli plaaster vabastati jaanuari lõpus, kohta Piiksuv arvuti. Kuid see tähendab ka seda, et ettevõte võttis vea parandamiseks samme aeglaselt. Viimase kolme aasta jooksul on Wyze'i Cam v1, v2 ja v3 kaamerad olnud häkkeritele vastuvõtlikud.
Cam v1 jäeti aga külma kätte ja Wyze lõpetas selle toetamise veebruaris kuna see konkreetne mudel "ei suutnud toetada vajalikke turbevärskendusi" selle piiratuse tõttu mälu. Kuigi probleem on uuemate mudelite jaoks parandatud, ei teavitanud Wyze kliente kunagi turvavea olemusest, hoides neid pimedas.
"Mõlemad Bitdefender ja Wyze võtavad mõjutatud kasutajate turvalisust tõsiselt," ütles Wyze oma ajaveebis. "Teades, et töötame aktiivselt riskide maandamise ja korrigeerivate uuenduste kallal, jõudsime selleni ühise järelduse, et kõige kindlam on olla detailide suhtes ettevaatlik, kuni haavatavused on kadunud fikseeritud."
Pole selge, kas viga kasutati ära, kuid see oleks andnud sissetungijatele juurdepääsu teie kaamera SD-kaardi sisule.
The Verge tõstatas küsimusi ka Bitdefenderi hilise avalikustamise kohta. Selle suhtekorraldusdirektor Steve Fiore ütles uudisteväljaandele, et "leidude avalikustamine enne, kui müüja oleks plaastreid tarninud, oleks seadnud ohtu paljud inimesed."
Siiski ei ole turvauurijatele tüüpiline oodata kolm aastat, enne kui haavatavused avalikustavad.