מה שאתה צריך לדעת
- קו מצלמות האבטחה של Wyze היה רגיש לפריצה במשך שנים.
- החברה ידעה על ליקוי האבטחה הגדול, אבל היא לא סיפרה ללקוחות.
- Wyze סיימה את התמיכה רק בחלק מהמצלמות המושפעות מכיוון שהיא לא הצליחה להוציא תיקון עקב מגבלות חומרה.
אם אתה עדיין משתמש כעת ב-Wyze Cam v1, כנראה שמומלץ להפסיק להשתמש במצלמת האבטחה באופן מיידי. נראה שפגיעות גדולה אפשרה לפולשים לגשת לסרטונים המאוחסנים שלך או לצפות בך סוד, ו-Wize לא הודיעה ללקוחות בשלוש השנים מאז שנודע לה לראשונה על האבטחה פְּגָם.
Bitdefender חשפה כי היא גילתה פגיעות בקו מצלמות האבטחה של Wyze Cam במרץ 2019 והודיעה לחברה על כך (באמצעות הגבול). עם זאת, Wyze לא הגיב עד נובמבר 2020.
"בזמן שבדקנו את מכשיר Wyze Cam, זיהינו מספר נקודות תורפה שמאפשרות חוץ תוקף ניגש לעדכון המצלמה או מבצע קוד זדוני כדי לסכן עוד יותר את המכשיר", Bitdefender אמר.
Wyze אמר ב פוסט בבלוג שהיקף הפגם מוגבל מכיוון שהאקר יצטרך קודם כל לקבל גישה ל-Wi-Fi הביתי שלך לפני שיוכל לצפות בסרטונים המאוחסנים של המצלמה.
"תחילה נרצה ליידע את המשתמשים שלנו שהפגיעויות הללו דורשות צורה כלשהי של גישה לרשת מקומית", הסביר Wyze. "לכן, היית צריך לחשוף את הרשת המקומית שלך לשחקן הרע ישירות או לאינטרנט בכלל כדי שהחולשות הללו יהיו ניתנות לניצול מרחוק."
למרבה המזל לבעלי Wyze's מצלמות האבטחה הפנימיות הטובות ביותר, כולל Cam v2 ו-v3, תיקון היה שוחרר בסוף ינואר, לפי מחשב מצמרר. אבל זה גם אומר שהחברה איחרה בנקיטת צעדים לתיקון הפגם. בשלוש השנים האחרונות, מצלמות Cam v1, v2 ו-v3 של Wyze היו רגישות להאקרים.
עם זאת, ה-Cam v1 נותר בחוץ בקור, כאשר Wyze פשוט סיים את התמיכה בו בפברואר מכיוון שהדגם המסוים הזה "לא יכול לתמוך בעדכוני האבטחה הדרושים" בגלל מוגבלותו זיכרון. בעוד שהבעיה תוקנה עבור דגמים חדשים יותר, Wyze מעולם לא הודיעה ללקוחות על אופי ליקוי האבטחה, והשאירה אותם בחושך.
"Bitdefender ו-Wyze מתייחסים ברצינות לבטיחות המשתמשים המושפעים", אמר Wyze בבלוג שלה. "בידיעה שאנו עובדים באופן פעיל על הפחתת סיכונים ועדכונים מתקינים, הגענו ל- מסקנה ביחד שהכי בטוח להיות זהיר לגבי הפרטים עד שהחולשות היו תוקן."
לא ברור אם הפגם נוצל, אבל זה היה נותן לפולשים גישה לתוכן כרטיס ה-SD של המצלמה שלך.
The Verge גם העלה שאלות לגבי החשיפה המאוחרת של Bitdefender. מנהל יחסי הציבור שלה, סטיב פיורי, אמר לכלי החדשות כי "חשיפת הממצאים לפני שהספק יספק תיקונים היה מסכן הרבה אנשים".
עם זאת, זה לא אופייני לחוקרי אבטחה לחכות שלוש שנים לפני שהם חושפים נקודות תורפה.