Hva du trenger å vite
- Wyzes sikkerhetskameralinje var utsatt for hacking i årevis.
- Selskapet visste om den store sikkerhetsbristen, men det fortalte ikke kundene.
- Wyze avsluttet kun støtte for noen av de berørte kameraene siden det ikke kunne rulle ut en reparasjon på grunn av maskinvarebegrensninger.
Hvis du fortsatt bruker en Wyze Cam v1 akkurat nå, er det sannsynligvis en god idé å slutte å bruke sikkerhetskameraet umiddelbart. Det ser ut til at en stor sårbarhet tillot inntrengere å få tilgang til de lagrede videoene dine eller se deg inn hemmelig, og Wyze informerte ikke kundene på de tre årene siden det først fikk vite om sikkerheten feil.
Bitdefender har avslørt at den oppdaget en sårbarhet i Wyzes Cam sikkerhetskameralinje i mars 2019 og varslet selskapet om det (via The Verge). Wyze klarte imidlertid ikke å svare før i november 2020.
"Mens vi så inn i Wyze Cam-enheten, identifiserte vi flere sårbarheter som slapp utenfor angriperen får tilgang til kamerafeeden eller kjører ondsinnet kode for å kompromittere enheten ytterligere," Bitdefender sa.
Wyze sa i en blogg innlegg at omfanget av feilen er begrenset siden en hacker først må få tilgang til hjemmet ditt Wi-Fi før de kan se kameraets lagrede videoer.
"Vi vil først fortelle brukerne våre at disse sårbarhetene krevde en form for lokal nettverkstilgang," forklarte Wyze. "Så du måtte ha eksponert ditt lokale nettverk for enten den dårlige skuespilleren direkte eller Internett for øvrig for at disse sårbarhetene skulle kunne utnyttes eksternt."
Heldigvis for eiere av Wyze's beste innendørs sikkerhetskameraer, inkludert Cam v2 og v3, var en oppdatering utgitt i slutten av januar, som pr Blødende datamaskin. Men dette betyr også at selskapet var treg med å ta skritt for å fikse feilen. De siste tre årene har Wyzes Cam v1, v2 og v3-kameraer vært utsatt for hackere.
Cam v1 ble imidlertid utelatt i kulden, og Wyze avsluttet ganske enkelt støtten for den i februar siden den spesielle modellen "ikke kunne støtte de nødvendige sikkerhetsoppdateringene" på grunn av dens begrensede hukommelse. Mens problemet har blitt rettet for nyere modeller, informerte Wyze aldri kundene om arten av sikkerhetsfeilen, og holdt dem i mørket.
"Bitdefender og Wyze tar begge sikkerheten til berørte brukere på alvor," sa Wyze i sin blogg. "Ved å vite at vi jobbet aktivt med risikoreduksjon og korrigerende oppdateringer, kom vi til konkluderte sammen at det var tryggest å være forsiktig med detaljene inntil sårbarhetene var fikset."
Det er uklart om feilen ble utnyttet, men den ville gitt inntrengere tilgang til innholdet på kameraets SD-kort.
The Verge reiste også spørsmål om Bitdefenders sene avsløring. Dets PR-direktør, Steve Fiore, sa til nyhetsmediet at "å avsløre funnene før leverandøren hadde gitt oppdateringer ville ha satt mange mennesker i fare."
Det er imidlertid ikke typisk for sikkerhetsforskere å vente tre år før de avslører sårbarheter.